攻撃者は単にフィッシングメールを送るだけではありません。

最も危険なフィッシングキャンペーンは、従業員をだますためだけに設計されているわけではありません。多くのキャンペーンは、調査しているアナリストを疲れさせるために設計されています。12時間かかって調査するフィッシングインシデントが5分で解決できる場合、結果は封じ込められた事象から攻撃に変わることもあります。

フィッシング防御の新たな視点

サイバーセキュリティ業界は長年にわたり、フィッシング防御の「前線」に焦点を当ててきました。従業員のトレーニング、既知の脅威をフィルタリングするメールゲートウェイ、不審なメッセージを報告するプログラムなどです。しかし、報告が提出された後のプロセスをどのように攻撃者が利用するかについては、ほとんど注目されていません。

SOCの疲労が攻撃面となる

SOCチームは、ターゲットを侵害するだけでなく、調査を担当するアナリストを圧倒するように設計されたフィッシングキャンペーンが増えていると報告しています。

フィッシングのボリュームが武器となる

フィッシングは、個々の脅威の連続体として扱われることが多いですが、攻撃者はスケールで考えます。SOCはそのようなシステムの一つで、有限の容量と予測可能な失敗モードを持っています。

予測可能な失敗モード

この戦略が機能する理由は、SOCのフィッシング調査が組織間で予測可能なパターンをたどるからです。フィッシング報告のボリュームが増加すると、SOCは予測可能な方法で反応します。

経済的動機

このダイナミクスの経済は攻撃者に有利です。数千の一般的なフィッシングメールを生成するコストはほとんどありません。

決定速度が問題

多くのセキュリティツールは、この課題に対応するために、人々にさらなるアラートを投げかけることで対応しています。

ルールベースの自動化は解決策ではない

自動化は解決策の一つとして考えられますが、ルールベースのフィルタリングは、特定の脅威モデルに対しては効果がありません。

専門的な調査エージェント

敵対的なフィッシング防御の新アプローチは、単一の自動化ツールではなく、特定の調査の各側面に焦点を当てた専門家チームのようになっています。

5分の現実

このアプローチの実際の影響は、時間に帰着します。

組織の耐久性を測る

このフレーミングを採用する組織は、そのフレーミングを反映する指標が必要です。

防御方程式を変える

攻撃者のSOCの負荷を武器化する優位性は、特定の仮定に依存しています。

結論

フィッシング報告ボタンはまだ存在します。

関連情報

この記事は、私たちの価値あるパートナーからの寄稿記事です。

---

元記事: https://thehackernews.com/2026/03/attackers-dont-just-send-phishing.html