第2回：深刻な被害につながるソーシャルエンジニアリング

今回は「第2回：深刻な被害につながるソーシャルエンジニアリング」についてご紹介します。

関連ワード （今だから知っておきたいソーシャルエンジニアリング、特集・解説等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　ドイツの調査会社Statistaは、ランサムウェア攻撃が2019年以降増加しており、2021年の新型コロナウイルス感染症の大流行時にピークに達し、世界中の企業・組織の68％が攻撃を経験したと報告している。また、報道によれば、同年にランサムウェアの「身代金」の支払い額が米国で70％増加（Washington Post、5月）し、フランスはこれに次いで55億ドルの被害（AP通信、5月）が出ている。

　ランサムウェア攻撃を経験している企業や政府機関は、その原因を語ろうとしない。しかし、多くの企業は、従業員がフィッシングメールをクリックしたことを感染原因であると認めている。Statistaは、マネージドサービスプロバイダーを対象とした世界規模の調査で、2020年のランサムウェア攻撃の54％においてフィッシングやスパムメールが発端となっていることを明らかにしている。

　現在では、フィッシングメールを作成するために、高度なスキルを必要としない。悪用しようとするブランドの画像やロゴはウェブサイトから入手できるし、メールの送信者欄を自由に変更できる。闇サイトで販売されているフィッシングキットを使えば、フィッシングサイトを正当なものに見せるだけでなく、セキュリティベンダーなどによる検出を回避するのに役立つ不正なウェブページやツールなど、フィッシング攻撃に必要な全ての要素が含まれている。

　また、フィッシングキットをSaaS化した「サービスとしてのフィッシング」（PhaaS）も登場しており、標的の宛先となる受信者のリストを入手したり、送信したフィッシングメールを追跡したりする機能も利用できる。IDとパスワードといったログイン情報を盗み出すことを目的としている場合は、入手したログイン情報を管理したり、そのリストを販売したりする機能まで用意されている。フィッシングが急増した背景の一つには、こうしたツールの普及が挙げられる。