サイバー犯罪グループ「ShinyHunters」が世界的な注目を集めています。これは、Googleが25億人のユーザーに対して、音声を利用したソーシャルエンジニアリング(「ビッシング」とも呼ばれ、音声フィッシングの略)を通じて警告を発したことによります。
ソーシャルエンジニアリングとは、人をだまして情報を提供させたり、通常は行わない行動を取らせたりする手法です。ディープフェイクや生成型人工知能を使って声をクローンする技術が進化しており、この種のソーシャルエンジニアリングを見破るのが難しくなっています。
今年だけでも、カンタス航空、パンドラ、アディダス、シャネル、ティファニー、シスコなどの企業が同様の手法で標的にされ、数百万人のユーザーが影響を受けました。
ShinyHuntersとは何者なのでしょうか?
ShinyHuntersは2020年に初めて姿を現し、これまでに91の被害者を攻撃したと主張しています。このグループは主に金銭を目的としていますが、被害者の評判を損なうこともいとわないようです。2021年には、ShinyHuntersはAT&Tの7300万人の顧客から盗んだデータを販売していると発表しました。
ShinyHuntersはこれまで、クラウドアプリケーションやウェブサイトのデータベースの脆弱性を通じて企業を標的にしてきました。セールスフォースのような顧客管理プロバイダーを狙うことで、サイバー犯罪者は一度の攻撃で複数のクライアントから豊富なデータセットにアクセスすることができます。
ソーシャルエンジニアリング技術の使用は、ShinyHuntersにとって比較的新しい戦術とされています。このアプローチの変更は、他の類似グループとの関係に起因しているとされています。
アリアンツ生命のセールスフォースデータを公開し、個人顧客や法人パートナーに関する280万件のデータ記録が含まれていました。
新たにブランドを変更した「Scattered Lapsus$ Hunters」は、最近「ランサムウェア・アズ・ア・サービス」を提供し始めたと宣伝しています。これは、他のグループの依頼を受けてランサムウェア攻撃を実行することを意味します。
彼らは、自分たちのサービスが他のサイバー犯罪グループである「LockBit」や「Dragonforce」が提供するものよりも優れていると主張しています。被害者と直接交渉するのではなく、グループはしばしば公に恐喝メッセージを公開します。
さらに混乱を招くのは、各グループが複数の名前で知られていることです。例えば、「Scattered Spider」はUNC3944、Scatter Swine、Oktapus、Octo Tempest、Storm-0875、Muddled Libraとしても知られています。
ビッシングから身を守るにはどうすればよいのでしょうか?
大手テクノロジー企業の一般ユーザーとして、組織化されたサイバー犯罪グループに対して私たちができることはほとんどありません。詐欺から個人を守るには、常に警戒を怠らないことが重要です。
ソーシャルエンジニアリングの手法は、人間の感情や信頼したい、助けたいという欲求を利用するため、非常に効果的です。
しかし、企業もまた、ビッシングの手法による標的化のリスクを減らすために積極的に行動することができます。
組織はこれらの手法に対する認識を高め、シナリオベースのトレーニングを従業員教育プログラムに組み込むことができます。また、従業員が企業のバッジや政府発行のIDを示すオンカメラチェックや、オンラインで簡単に答えられない質問をするなど、追加の確認方法を使用することもできます。
最後に、組織は、番号マッチングや地理的検証のようなフィッシングに強い多要素認証を必要とする認証アプリを使用することで、セキュリティを強化することができます。
番号マッチングは、認証リクエストを承認するために、本人が認証アプリにアイデンティティプラットフォームからの番号を入力する必要があります。
地理的検証は、本人の物理的な位置を追加の認証要素として使用します。
【用語解説】
– ビッシング(Vishing):音声を利用したフィッシング詐欺の一種で、電話を通じて個人情報を詐取する手法。
– ランサムウェア・アズ・ア・サービス(Ransomware as a Service):他のグループの依頼を受けてランサムウェア攻撃を実行するサービス。
– 番号マッチング(Number matching):認証リクエストを承認するために、本人が認証アプリにアイデンティティプラットフォームからの番号を入力する必要がある認証方法。