(Aiが作成した女性のイメージ/写真AC)

AI(人工知能)の活用によって巧妙化するソーシャルエンジニアリングやビジネスメール詐欺が、本来強固なサイバーセキュリティをも無力にすることがある。今回は、これらの脅威に対する振り返りとともに、サイバー犯罪の「今」を探求する。

「人」

ソーシャルエンジニアリングで攻撃者が標的とするのは「人」だ。脆弱性と呼ばれる技術面での弱点よりも、個人の信頼や感受性を悪用している点に特徴がある。そして、「人」を欺くことによって機密情報を提供させたり、攻撃者がシステムにアクセスできるようにさせたりするための操作を行うよう仕向けていく。

また、ビジネスメール詐欺(通称、BECとも呼ばれる)は、特に企業を標的として用いられることの多いソーシャルエンジニアリングの一種だ。攻撃者はビジネスパートナー、サプライヤー、上級管理職などの信頼できる人物に「なりすます」ことで、機密情報を要求したり送金指示を出したりする。このような手口を使われてしまうと、ファイアウォールやアンチウイルスソフトといった企業に導入されている多くの技術的保護を回避することができてしまう可能性がある。

攻撃増加の背景には、サイバー犯罪者の高度化や、クラウドベースの電子メールサービス利用拡大、ビジネスのグローバル化などさまざまな要因がある。特に、海外に現地法人を持つ企業では、セキュリティに関する基準や体制が本社とは異なっていることから、その違い(多くの場合は、本社よりも低い基準)を利用して機密情報にアクセスし易い格好の標的と見るむきもある。

前述のとおり、攻撃者から見て「人」がソーシャルエンジニアリングの機会となっているので、このような攻撃を防ぐためには従業員の教育や啓発による意識向上、最新の手口に関する情報の共有などによって、一本目の防衛線を築こうとする取り組みは多く見られる。

また、ビジネスメール詐欺においてはメールが主な媒介となるため、メールに関連したセキュリティ対策を講じることが重要となる。具体的には、多要素認証(MFA)や暗号化製品の導入、メールで共有できる機密情報の量を制限する社内ポリシーの策定といった取り組みが行われている。

また、他のサイバーリスクと同様に「絶対大丈夫」と言える100%のサイバーセキュリティは困難であるため、攻撃が成功するリスクを減らすことと同時に、攻撃が成功してしまった際に事業に及ぼす影響を最小限にするための備えも重要となる。

具体的には、サイバー攻撃に伴う機会損失を想定した備えや、インシデント対応プランの策定、弁護士など外部専門家にすぐにアクセスできるようにしておくといった取り組みが行われている。

易々と中に招き入れる

ソーシャルエンジニアリングと言われてピンとこなかったとしても、「フィッシング詐欺」と言われればご存知の方も多いのではないだろうか。ソーシャルエンジニアリングの数ある手口の中でも、日常的に見かける機会が多い手口だ。

偽メールや電話、ウェブサイトを利用して銀行や政府機関、IT企業のサポートセンターなどを装って仕掛けてくる攻撃である。例えば、銀行を装った偽メールを送ることで、標的となった人物がユーザー名やパスワードなどの口座情報を入力してしまうように仕向けたりもする。

ソーシャルエンジニアリングの一つであるプリテキスティング(pretexting)という手口では、IT企業やサイバーセキュリティ企業の従業員を装って標的にコンタクトし、次の攻撃のためにラップトップのOSやパスワードなどを巧妙に聞き出す手口もある。要は「なりすまし」だ。テクニカルサポートの担当者を装って標的に電話をかけ、ITの問題を解決するためにと称してパスワードやその他の機密情報を聞き出している。

そして、攻撃者がUSBドライブなどの物理デバイスに “機密ファイル” などの目を惹くラベルを付けて公共の場に放置するのも、ソーシャルエンジニアリングの一つだ。もちろん、このデバイスを拾ってラップトップに接続してしまえば、マルウェアをインストールされてしまったり、機密情報が盗まれてしまったりすることがあるので注意が必要である。

また、ビジネスメール詐欺では、攻撃者が時間をかけて標的とした企業のコミュニケーションパターンを研究しており、慎重に被害者を狙っていくことが多い。そのため、狙われていることにすぐに気が付くとは限らない。特に海外現地法人が狙われると、時差や言語の障壁も相まって発見が遅れてしまうこともある。

強固なセキュリティ対策が施されていたとしても、ソーシャルエンジニアリングによって従業員が易々と攻撃者を中に招き入れてしまえば、金銭的損失や情報の窃取といった深刻な結果をもたらす可能性さえある。