長年にわたり、企業は従業員にフィッシング詐欺の発見と報告方法を教えるため、セキュリティ意識向上トレーニング・プログラムに投資してきた。このような努力にもかかわらず、セキュリティ・ベンダーであるNetskopeのレポートによると、2024年、企業ユーザーがフィッシング・ページにアクセスする確率は前年比3倍であった。
同社のセキュア・ウェブ・ゲートウェイとクラウドベースのSASEプラットフォームから収集した遠隔測定に基づき、Netskopeが調査したところ、過去1年間は毎月1,000人中8.4人のユーザーがフィッシング・リンクをクリックしていたのに対し、2023年には2.9人だった。
「この増加の主な要因は、認知疲労(ユーザーが常にフィッシングの試みにさらされていること)と、攻撃者の創造性と適応力による、より検出しにくい餌の提供である」と、同社は年次クラウドと脅威レポートの中で述べている。
大規模な言語モデル(LLM)の台頭も、この急増に一役買っていることは間違いない。攻撃者は、より多様で文法的に正しく、あらゆる組織をターゲットにしたフィッシングの餌を簡単に自動作成できるようになったからだ。
検索エンジンの結果を利用したフィッシング
組織内のフィッシング検知トレーニングの大部分は、フィッシングメールを見破ることに重点を置いていますが、攻撃者がユーザーを誘惑して、認証情報を盗もうとする偽のウェブサイトにつながるリンクをクリックさせる方法は、これだけではない。
Netskopeのデータによると、フィッシングクリックの大半はウェブ上の様々な場所からで、中でも検索エンジンが上位を占めています。攻撃者は、悪意のある広告を掲載したり、いわゆるSEOポイズニングのテクニックを使って、特定の用語に対する検索エンジンの上位結果に悪意のあるリンクを注入することに成功している。
フィッシング・ページのその他の主な参照元は、ショッピング、テクノロジー、ビジネス、エンターテインメントのウェブサイトであった。攻撃者がこのようなサイトに悪意のあるリンクを貼り付ける方法としては、コメント欄へのスパム行為、広告ネットワークを通じて悪意のある広告を購入し、そのサイトに表示させる方法(マルバタイジングとして知られる手法)、あるいはサイト自体を侵害し、ページに直接フィッシングのポップアップを挿入する方法などがある。
「Netskopeの研究者は、「フィッシング・ソースの多様性は、攻撃者による独創的なソーシャル・エンジニアリングを示している。「彼らは、被害者がインバウンドメール(リンクをクリックしないように繰り返し教え込まれる)を警戒していることは知っているが、検索エンジンの結果のリンクはもっと自由にクリックすることを知っている。
フィッシング攻撃で最も狙われているのはクラウドアプリの認証情報で、Microsoft 365が42%と最も多く、Adobe Document Cloud(18%)、DocuSign(15%)と続いている。多くのフィッシング・サイトは、これらのサービスのログイン・ページを装っているが、Office 365、Outlook、Aol、Yahooなど、他のIDプロバイダーのログイン・オプションも提供している。
「Netskope Threat LabsのディレクターであるRay Canzanese氏はCSOの取材に対し、「LLMが、攻撃者がより説得力のあるフィッシング・ルアーを作成する上で一役買っていることは間違いない。「LLMは、スパムフィルターを回避し、被害者を騙す確率を高めるために、より良いローカライゼーションと多様性を提供することができる。
サイバー犯罪者たちは、WormGPTやFraudGPTのような特殊なLLM支援チャットボットまで作成し、アンダーグラウンドのフォーラムで宣伝・販売している。
「より広範に、Netskopeは、標的型フィッシングキャンペーンで、通常、標的となる組織の有名人を模倣することによって、ジェネリックAIツールが使用されているのを目にしている」とCanzaneseは述べている。「攻撃者は、LLMを使用して生成されたメッセージを送信したり、ディープフェイクの音声やビデオを使用したりもする。
Deloitteの調査によると、最近15%の経営幹部が、自社の財務データがディープフェイク詐欺によってサイバー犯罪者に狙われていると回答しており、ディープフェイクは企業で増加傾向にある。
