サイバーニュース.jp

世界のサイバーなニュースを配信

攻撃者がLinkedInでフィッシングを行う5つの理由

カテゴリ:

はじめに:進化するフィッシング攻撃

フィッシング攻撃はもはや電子メールの受信トレイに限定されません。現在、フィッシング攻撃の34%がソーシャルメディア、検索エンジン、メッセージングアプリなどの非電子メールチャネルで行われています。特にLinkedInはフィッシング攻撃の温床となっており、それには正当な理由があります。攻撃者は、金融サービスやテクノロジー分野の企業幹部を標的とした高度なスピアフィッシング攻撃を展開しています。

しかし、電子メール以外のフィッシングは依然として報告が少なく、業界のフィッシング指標のほとんどが電子メールセキュリティツールから得られていることを考えると、これは驚くべきことではありません。LinkedInでの従業員のフィッシングについて「なぜ気にする必要があるのか」と考えるかもしれませんが、LinkedInは個人的なアプリである一方で、仕事目的で頻繁に使用され、会社のデバイスからアクセスされます。攻撃者は特にMicrosoft EntraやGoogle Workspaceのようなビジネスアカウントを標的としているため、LinkedInでのフィッシングは企業が今日備えるべき重要な脅威なのです。

ここでは、攻撃者がLinkedInでフィッシングを行う理由と、それが非常に効果的である理由について知っておくべき5つのことをご紹介します。

1. 従来のセキュリティツールを迂回する

LinkedInのDMは、ほとんどの組織がフィッシング対策として依存している電子メールセキュリティツールを完全に回避します。実際には、従業員は仕事用のラップトップや電話でLinkedInにアクセスしますが、セキュリティチームはこれらの通信を可視化できません。これは、従業員が仕事用のデバイスで外部の人物からメッセージを受け取っても、電子メールの傍受のリスクがないことを意味します。

さらに悪いことに、最新のフィッシングキットは、ウェブページの検査(ウェブクローリングセキュリティボットなど)やウェブトラフィックの分析(ウェブプロキシなど)に基づくアンチフィッシング制御を回避するために、難読化、分析防止、検出回避技術を多用しています。これにより、ほとんどの組織はユーザーのトレーニングと報告を主な防御線として頼るしかありません。これは良い状況ではありません。

しかし、ユーザーによって発見され報告されたとしても、LinkedInのフィッシングに対して実際には何ができるでしょうか?他のどのアカウントが標的になったか、または侵害されたかを確認することはできません。電子メールとは異なり、複数のユーザーに届いた同じメッセージをリコールしたり隔離したりする方法はありません。変更できるルールも、ブロックできる送信者もありません。アカウントを報告することはできますが、攻撃者はその頃には必要なものを手に入れて次の行動に移っている可能性が高いです。

ほとんどの組織は、関連するURLをブロックするだけです。しかし、攻撃者がフィッシングドメインを急速にローテーションしている場合、これはあまり役に立ちません。1つのサイトをブロックする頃には、すでにいくつかのサイトがその代わりになっています。これはいたちごっこであり、不利な状況です。

2. 攻撃者にとって安価で簡単、そしてスケーラブル

LinkedInでのフィッシングは、電子メールベースのフィッシング攻撃よりもアクセスしやすい点がいくつかあります。

  • 電子メールの場合、攻撃者は事前に電子メールドメインを作成し、ドメインの評判を築き、メールフィルターを通過させるためにウォームアップ期間を経ることが一般的です。
  • LinkedInのようなソーシャルメディアアプリの場合、アカウントを作成し、つながりを作り、投稿やコンテンツを追加し、正当に見えるように装うことになります。

しかし、正当なアカウントを乗っ取ることは非常に簡単です。インフォスティーラーのログにある資格情報の60%はソーシャルメディアアカウントにリンクされており、その多くはMFAを欠いています(MFAの導入は、名目上「個人的な」アプリでは、雇用主によってMFAの追加が奨励されていないため、はるかに低いのです)。これにより、攻撃者は既存のネットワークに溶け込み、その信頼を悪用してキャンペーンを開始するための信頼できる足がかりを得ることができます。

正当なアカウントの乗っ取りと、AIを活用したダイレクトメッセージの機会を組み合わせることで、攻撃者はLinkedInでのリーチを簡単に拡大できます。

3. 価値の高いターゲットへの容易なアクセス

営業担当者なら誰でも知っているように、LinkedInでの情報収集は簡単です。組織のLinkedInプロフィールを簡単にマッピングし、アプローチするのに適したターゲットを選択できます。実際、LinkedInは、潜在的なソーシャルエンジニアリングのターゲットを特定する際に、レッドチームや攻撃者にとって最高のツールの1つです。例えば、職務や職務記述書を確認して、成功する攻撃を開始するために必要なアクセスレベルと権限を持つアカウントを推定します。

LinkedInのメッセージには、スクリーニングやフィルタリング、スパム対策、受信トレイを監視するアシスタントもありません。これは、意図した連絡先に到達する最も直接的な方法であり、したがって、高度に標的を絞ったスピアフィッシング攻撃を開始するのに最適な場所の1つです。

4. ユーザーが騙されやすい

LinkedInのようなプロフェッショナルネットワーキングアプリの性質上、組織外の人々とつながり、交流することを期待します。実際、高位の幹部は、別のスパムメールよりもLinkedInのDMを開いて返信する可能性がはるかに高いです。

アカウントの乗っ取りと組み合わせると、既知の連絡先からのメッセージはさらに返信を得やすくなります。これは、既存のビジネス連絡先のために電子メールアカウントを乗っ取るのと同等であり、過去に多くのデータ侵害の原因となってきました。

実際、最近のいくつかのケースでは、これらの連絡先は同僚でした。つまり、攻撃者が会社の電子メールアカウントの1つを乗っ取り、それを使ってC-Suiteの幹部をスピアフィッシングするようなものです。適切な口実(例えば、緊急の承認を求める、または文書を確認する)と組み合わせることで、成功の可能性は大幅に高まります。

5. 潜在的な報酬が莫大

これらの攻撃が「個人的な」アプリで行われているからといって、影響が限定されるわけではありません。全体像を考えることが重要です。

ほとんどのフィッシング攻撃は、MicrosoftやGoogleのような主要なエンタープライズクラウドプラットフォーム、またはOktaのような専門のIDプロバイダーを標的としています。これらのアカウントの1つを乗っ取ると、それぞれのアプリ内のコアアプリやデータへのアクセスが得られるだけでなく、攻撃者はSSOを活用して、従業員がログインする接続されたアプリにサインインできます。

これにより、攻撃者は組織内のほぼすべてのコアビジネス機能とデータセットにアクセスできます。そして、この時点から、SlackやTeamsのようなビジネスメッセージングアプリを使用したり、SAMLjackingのような技術を使用して、アプリを他のユーザーがログインしようとするウォーターホールに変えたりするなど、これらの内部アプリの他のユーザーを標的とすることがはるかに容易になります。

幹部従業員へのスピアフィッシングと組み合わせることで、その見返りは莫大です。単一のアカウント侵害が、数百万ドル規模の企業全体の侵害に急速に発展する可能性があります。そして、攻撃者が従業員に個人的なデバイスでしか到達できなかったとしても、これは企業アカウントの侵害につながる可能性があります。2023年のOkta侵害を見てください。攻撃者は、Oktaの従業員が仕事用のデバイスで個人的なGoogleプロフィールにサインインしていたという事実を悪用しました。これは、ブラウザに保存された資格情報が個人的なデバイスに同期されたことを意味します。その個人的なデバイスがハッキングされたとき、仕事用のアカウントもハッキングされました。

これはLinkedInだけの問題ではない

現代の仕事は、分散型インターネットアプリのネットワークと、電子メール以外の多様な通信チャネルで行われているため、ユーザーが悪意のあるコンテンツとやり取りするのを阻止することはこれまで以上に困難です。攻撃者は、インスタントメッセンジャーアプリ、ソーシャルメディア、SMS、悪意のある広告、アプリ内メッセンジャー機能を通じてリンクを配信できるほか、SaaSサービスから直接電子メールを送信して電子メールベースのチェックを回避することもできます。同様に、現在では企業ごとに数百ものアプリが標的となっており、アカウントセキュリティ構成のレベルも様々です。フィッシングは現在、電子メールだけでなく、複数のチャネルで配信され、幅広いクラウドおよびSaaSアプリを標的としています。

フィッシングが発生する場所で阻止する:ブラウザ内

フィッシングはメールボックスの外に移動しました。セキュリティも同様に進化することが不可欠です。現代のフィッシング攻撃に対処するには、すべてのアプリと配信ベクトルでフィッシングを検出してブロックするソリューションが組織に必要です。

Push Securityは、ユーザーが見るものを可視化します。配信チャネルや検出回避方法が何であれ、Pushはユーザーがウェブブラウザで悪意のあるページを読み込む際に、ページコード、動作、ユーザーインタラクションをリアルタイムで分析することで、攻撃をリアルタイムで阻止します。これだけではありません。Pushは、AiTMフィッシング、クレデンシャルスタッフィング、悪意のあるブラウザ拡張機能、悪意のあるOAuth付与、ClickFix、セッションハイジャックなどのブラウザベースの攻撃をブロックします。また、Pushを使用して、ゴーストログイン、SSOカバレッジギャップ、MFAギャップ、脆弱なパスワードなど、従業員が使用するアプリ全体の脆弱性をプロアクティブに発見して修正することもできます。従業員が仕事用ブラウザで個人アカウントにログインした場所も確認できます(前述の2023年のOkta侵害のような状況を防ぐため)。

元記事: https://www.bleepingcomputer.com/news/security/5-reasons-why-attackers-are-phishing-over-linkedin/

投稿をさらに読み込む