CyberArkは8月18日(現地時間)、「Don’t Fall for MFA Fatigue or Next-Level Phishing Attacks」において、最近の大規模フィッシング攻撃を分析した結果を伝えた。同社は、著名なフィッシング攻撃で観察された5つの要因とサイバーリスク低減のヒントを紹介している。

  • Don’t Fall for MFA Fatigue or Next-Level Phishing Attacks

    Don’t Fall for MFA Fatigue or Next-Level Phishing Attacks

CyberArkはフィッシングがいつ、どこに、どのようなサイバー攻撃を仕掛けてくるかを理解することで、サイバー防衛を優位に進めることができると説明。近年観測されているフィッシング攻撃の共通点としては、以下がわかったという。

  • 共通点その1: ソーシャルエンジニアリングによる、特定の技術系組織で働く個人の特定

低減のヒント - 最近実施された調査では、セキュリティ啓発トレーニングがランサムウェア対策として2番目に効果的な多重防衛戦略であると評価されている。定期的なトレーニングや教育セッションを実施し、セキュリティ文化として定着させ、進化するフィッシング攻撃について周知させることが重要とされている。

  • 共通点その2: ネットワークに侵入するための第一要素であるクレデンシャル盗難による個人情報の漏洩

低減のヒント - 啓発トレーニングだけでは、フィッシングに遭うのを完全に防ぐことはできない。クライアント側の認証情報を保護し、多要素認証バイパスを可能とするクッキーの盗難を防ぐエンドポイントセキュリティコントロールの導入を検討することが推奨されている。

  • 共通点その3: 多要素認証疲労攻撃、SMSおよび音声フィッシングによる信頼できるソースへのなりすまし

低減のヒント - 多要素認証疲労攻撃を軽減する方法として、プッシュ通知ではなくワンタイムパスワードに変更すること、またはよりユーザーフレンドリーなアプローチとして多要素認証の成功に認証アプリを使用して認証番号を要求することなどが挙げられている。

  • 共通点その4: 永続性を確立、トラック隠蔽、追加のシステムやサーバを侵害するための横移動および重要なシステムに到達するための特権の昇格。

低減のヒント - 大規模に実行することは特に困難とされているが、すべてのインフラ、アプリケーション、データに最小権限を適用する。

  • 共通点その5: データの流出

サイバーリスク低減のヒント - 最新のフィッシング攻撃の一つにデータを流出させ、検知・排除された後に攻撃者が再びネットワークに侵入しようとしたと報告されている。この攻撃は失敗に終わったが、強力なパスワードの使用方法は常に再確認しておく必要がある。ユニークで強力なパスワードを自動的に生成する方法を提供し、ユーザーの負担を軽減することが望まれている。

フィッシングは新たなレベルに達しており、無防備なあるいは多要素認証を使いこなせない被害者がだまされやすくなっていることが明らかとなっている。効果的なフィッシング対策は、セキュリティの技術的および人的要素を含め不正なクリックは避けられないと考え、脅威がより大きなフィッシングになる前に迅速に捕捉することが重要であるとされている。