2018年の予見:ソーシャルエンジニアリングの拡大により、エンドユーザー認証の強化は必須に

2017年11月27日

2017年が残り少なくなった今、私たちは今年起こったこと、また新しい年には何が起こるかを考えるものです。下記は、当社が予測する2018年に見られる可能性のあるサイバー脅威のリストです。

1. ソーシャルエンジニアリングの脅威により組織はより強固な認証が必要

TargetからEquifaxそしてOPMへ、その共通の特徴は常にメール、リンク、そして添付ファイルでした。フィッシング攻撃は人間の弱さに焦点を置き、本質的にはシンプルですが、犯罪者はそれが信じられないほど強力であることを熟知しています。詐欺者の努力は幾度となく実っていることから、彼らがフィッシング攻撃の実行をやめる理由はどこにもありません。さらに、銀行、政府、民間の産業はソーシャルエンジニアリング行為から逃れることはできません。つまり、サイバー犯罪者には常に無限のターゲットがあるのです。
ほとんどの攻撃の最終目的はアカウントの乗っ取りです。それはすでに複数の業種で年間65億~70億ドルの損失をうみだしています。イージー・ソリューションズのCEOであるRicardo Villadiegoは、「2020年の終わりまでに、マシーンラーニングと優れたマルチファクター認証技術を採用しない組織は、デジタル取引を主要としているユーザーの要求に追いついていけなくなるだろう」と語っています。

2. AI(人口知能)の行方

マシーンラーニング及びAI(人口知能)技術は、組織と個人に大きなメリットと利益を提供していますが、それと同様に、犯罪者もまた似たような技術を利用しています。Ricardo Villadiegoは「問題は、エンドユーザーのための素晴らしい利便性を生み出すその技術が混乱を生み出し、ユーザーと企業に損害を与えるために利用されていることだ」と話しています。
イージー・ソリューションズのチーフ・データサイエンティストのDr. Alejandro Correaもまたこれに同意しています。同氏によると、今後起こりうる最大の脅威の一つとして、サイバー犯罪者がAIを利用して、詐欺検知をかわすために設計されたフィッシングサイトやマルウェアを作成することをあげています。さらに、犯罪者はどのようにマシーンラーニングが機能するかについてさらに知識を深め、攻撃の技術を磨き、不正ソフトウェアのアルゴリズム機能を向上させるでしょう。これはアルゴリズムをトレーニングするための大規模なデータセットにアクセスのない、またはそういったものを利用していない企業にとっては、大きな懸念となり得ます。なぜなら、浅いデータセットのみを使用している場合、犯罪者が不正を挿入してマシーンラーニングのアルゴリズムのトレーニング作業にダメージを加えることがより簡単になるからです。

3. Equifax(米国、消費者信用情報会社)の侵害に感化され、犯罪者がさらなるゲームを開始

「Equifax のデータ侵害は他のデータ侵害の事例とは異なっている。ほんの少数の組織しか所有しないようなタイプのデータが盗まれたことは、より大きなダメージの原因となり得る」とイージー・ソリューションズのマーケティングリーダーSilvia Lopezは語っています。
その侵害についてはもう誰も話していないかもしれませんが、サイバー犯罪者の詐欺行為が終わったわけではないのです。むしろ、この侵害による必然的な結果として、さらに多くの詐欺攻撃が検知される可能性のほうが高いと、イージー・ソリューションズの製品マーケティングリーダーであるDamien Hugooは予見しています。
また「犯罪者はブラックマーケットで不正に入手したデータを利用して、既存のオンラインアカウントにアクセスし、新たなアカウントを開設して、詐欺行為を実行しています。ブラックマーケットで利用可能な盗難個人情報の数が増加したため、アカウント開設、ローンの発行、クレジットカード開設中に、盗まれた個人情報を検知することが、今まで以上に必要になるだろう」と語っています。

「私たちは主要なメールアカウントが攻撃の中心になる事例をさらに見るだろう。つまりハッキングされたGmailのアカウントにより他のサービスが開設され、不正行為を実行するために利用されるだろう。このような攻撃は、私たちが安全を保つために設計上安全でないサービスに依存していることを示している。」とイージー・ソリューションズの開発担当のDavid  Castañedaは話しています。

4. 何億もの損失を生み出すアカウントの乗っ取りが増加

「過去に起きた侵害により、ブラックマーケットには盗まれた情報が溢れかえっている。意欲的なサイバー犯罪者がそのデータを利用し、アカウントの乗っ取り攻撃を実行してもなんら不思議ではない。こういった攻撃で詐欺者はアカウントにアクセスし、個人のセキュリティとコンタクト情報を変更する。これによりサイバー犯罪者はより多くの資金を搾取し、詐欺の猛威をふるうだろう」とイージー・ソリューションズの詐欺対策コンサルタントであるDee Millardは説明します。

 昨今のサイバー犯罪者は重要な情報へのアクセスを増やすために、非常に高度な手段を計画してきました。そのため、詐欺の監視を専門にしている人たちでさえも、真正なサイトと詐欺のサイトを区別することは難しいかもしれません。詐欺者は個人情報にアクセスし、多数のアカウントを乗っ取るために、不正なページに真正なURLとデジタル証明書の両方を表示し、偽のモバイルアプリとブランド、ソーシャルメディアのなりすましなど、二つ以上のブランドチャネルを利用する可能性があります。

5. 政治的利益を目的としたサイバー攻撃の利用

2016年の米国大統領選挙、ドイツの政治シンクタンクに関するサイバー攻撃、MP議員が電子メールにアクセス不可能になった英国議会への攻撃

2017年に、これらの攻撃やその他の政治的なサイバー攻撃がニュースになりました。こういった攻撃により、特に送電システム、水力システム、通信システムなどの重要なインフラに対するセキュリティリスクが増加するおそれがあり、このような攻撃がすぐに終わることは期待できません。政治的に主要な商業、取引、そして政府の活動はデジタルで実行されていることから、政府にとってインターネットの安全性を確保することは、必要性の問題だけにとどまらず、政府の責任を問われる課題となるでしょう。

6. モバイルフォン増加によるモバイル脅威の増加

Apple社と Google社は、ユーティリティアプリからの情報盗用などの一般的な攻撃からユーザーを保護するため、デバイスのセキュリティを引き続き強化しています。しかし、ユーザーがモバイルフォンを利用する際、未だに、ユーザー名、パスワード、その他の機密情報が洩れてしまう可能性があるのが事実です。Man-in-the-Middle攻撃、不正アクセスポイント(多くの場合、オープンWIFIネットワークから)そして、ジェイルブレイクされたデバイス上のマルウェアには、サイバー犯罪者にとって、スマートフォンのセキュリティ上の脆弱性をターゲットにするための理想的な条件がそろっています。
イージー・ソリューションズモバイルの製品オーナーであるIan Breezeは、このようなモバイルフォンへの攻撃戦略は来年さらに一般的になると予想しています。ほとんどの組織はこのような脅威を監視しておらず、攻撃が起きてからしかそれに対処していないのが現実です。犯罪者にとってみれば、モバイルセキュリティ上で比較的保護のない弱点を利用できることになります。

7. Alexa(アレクサ)は大丈夫か。 IoTデバイスとホームAIアシスタント上の攻撃

2017年のクリスマスまでには、Amazon Echoes、 Google homes、 Nestsが発売されているでしょう。
「ハッカーは、各AIアシスタントの制御されていないデバイスにアクセスしてくるだろう」とイージー・ソリューションズのSOCマネージャーの Fernando Cuervoは話します。
そしてハッカーがそういったアクセスに成功し攻撃に成功するかもしれないのです。平均的なユーザーはデータ盗難の認識はありますが、残念なことにそのような攻撃を緩和するスキルには欠けています。また大抵のユーザーはかなり緩やかなセキュリティ対策しかしていません。つまり、ホームアシスタントとIoTデバイスが来年度の一般的なターゲットになっても何の不思議もないのです。

8. 自己拡散するマルウェアとウィルスは引き続き拡散

「WannaCry(ワナクライ)はすぐになくならないでしょう。なくなるどころか、バンキングトロージャンの進化版、TrickBotや Lockyやその他ののマルウェアが成功を収めている。」とマルウェア研究者のFelipe Duarteは語ります。

9. デジタル通貨の存在によりサイバー犯罪者はキャッシングに成功

歴史的に、金融攻撃で最も難しいのは、捕まってしまうリスクが最も高いキャッシングでした。
伝統的なお金をデジタル通貨(例えば、シティバンクの貯蓄口座から第三者サービスへ)に変換するために利用できるチャンネルが増えたことを考えると、攻撃者はBitcoinsを引き出せる戦略に焦点を当てるでしょう。これは金融業界やセキュリティ業界が効果的な対策を確立するまで続くと考えられます。

10. 高度なスキミング技術はATM攻撃において増加

2016年、ハッカーはクレジットカードのバーチャルスキマーの開発に成功しました。それは遠隔でインストールされるマルウェアで、ハッカーは、ATMやATM関連デバイスに触れることなくカード情報を盗むことを可能にします。さらに、2015年米国で普及されたEMV技術の導入にもかかわらず、スキミングの蔓延は衰えることを知りません。
多くのATMが磁気カードをサポートし続ける限り、ハッカーはバーチャルスキマーにさらに「投資」をし、スキミング機能をさらに高度に進化させることが予想されます。

詐欺対策
来年に向けた詐欺対策はどうするべきでしょうか。下記は組織が2018年のデジタルセキュリティ対策の作成と向上を可能にするための推奨です。

・2018年は非常に高度な脅威が現れることが予想されており、詐欺対策は新たな挑戦を必要とします。単にドメインを監視するだけでなく24時間体制のプロアクティブな監視を提供する詐欺対策の採用が必須
・デジタル脅威、ブランド保護、セーブブラウジング分析などの包括的な詐欺対策を提供するソリューションを採用
・マルチファクター認証及び取引ログインのモニタリングを実装
・ソフトウェアパッケージと定期的にデータのバックアップにより、システムを最新状態に保ち、デジタル詐欺の危険性について従業員とエンドユーザーをトレーニング

By Maria Lobato, Marketing Director

Maria Lobato, Marketing Director

Mariaはイージー・ソリューションズの総合詐欺対策をグローバルに位置づけるために、外部とのコミュニケーションリーダーとして活躍しています。ブランドの意識向上、世代をリードするためのアナウンスメント、メディア関係、イベント関係を取り仕切るリーダーです。

Cyxtera Technologies, Inc. All rights reserved    I    Privacy Policy    I    Legal Terms