このサイバーセキュリティ啓発月間では、最も恐ろしいソーシャル・エンジニアリング攻撃と、これらのモンスターを過去に追放する方法についての認識を高めている。

FIDOアライアンス、マーケティング担当シニアディレクター、ミーガン・シャマス氏

サイバー犯罪者は、トリック・オア・トリート(お菓子をくれないといたずらするぞ)のようにドアをノックし、あなたの自由に与えられた認証情報を勝手に手に入れる。 従来のフィッシングメールであれ、より巧妙なディープフェイクを使った攻撃であれ、私たちのデジタルライフとパスワードの普及は、私たちをますますサイバー脅威に対して脆弱にしている。

意識向上は、世界をパスワードからよりシンプルで強力な認証へと移行させるというFIDOアライアンスの使命の中核をなすものである。 標準や技術は、サイバーセキュリティの課題を解決するための一助に過ぎません。私たちには、仕事中であれ、勉強中であれ、プライベートであれ、誰もがどのようなオンライン環境においても賢明な判断を下せるよう、教育し、最適な情報やリソースを提供する義務があります。

CISAとNCSAMがサイバーセキュリティ意識向上月間に取り組んでいるのは、サイバーセキュリティの「人」の部分に焦点を当てたものである。 そして、その「人」の部分を考えるとき、フィッシングやソーシャル・エンジニアリング攻撃がリストのトップに来ることは間違いない。

今年のサイバーセキュリティ意識向上月間を推進するため、私たちは間近に迫った不気味な季節からヒントを得て、犯罪者があなたの甘いお菓子の認証情報を盗むために使っている最も恐ろしいテクニックとテクノロジーを明らかにし、それを阻止する方法を紹介します。

羊の皮を被った狼

ネットの世界は、友人を見つけたり、仕事を見つけたり、ロマンスを見つけたりするのに最適な空間だ。 しかし、友好的なチャットや交流の背後にオオカミが潜んでいることもある。 この種の攻撃は非常に巧妙で、通常、攻撃者が無防備な被害者の信頼を勝ち取る間、長期間にわたって行われる。

消費者が油断して何も期待していないときに、「プレンティ・オブ・フィッシュ」が「プレンティ・オブ・フィッシュ」になる可能性がある。 最近のNetflixのドキュメンタリー『Tinder Swindler』は、こうした詐欺師がいかに説得力があり、しつこいかを示す好例だ。 オンライン上で人間関係を構築する場合、あなたのオンラインアカウントを乗っ取る可能性のある機密情報を共有する前に、アプリの向こう側にいる人が必ずしも見かけとは異なる可能性があることを覚えておいてください。

過去のフィシュマスの亡霊

銀行からあなたの詳細を確認したいというEメール。 宅配業者から再配達を依頼するメール。 新規アカウントを登録すると、100ドルが当たります。

しかし、このような古い、試行錯誤を重ねたフィッシング・テクニックは私たちを悩ませており、今でも圧倒的に効果的である。 昨年のクリスマスに英国で大流行したロイヤルメールのSMS詐欺やフェイスブックのビジネス/広告ユーザーを狙った最近の世界的な攻撃を考えてみよう。 2021年には5人に3人が偽の配信メールに狙われたと推定される。 攻撃の量と質の両方が増加し続ける中、最も単純なフィッシングやスミッシングは、私たちの誰もが引っかかる可能性がある。

シェイプシフター

トム・クルーズが歌っているようなディープフェイクの面白いバイラルビデオを見たことがあるだろうし、今年初めにウクライナのゼレンスキー大統領のフェイクビデオが作られたことも聞いたことがあるだろう。 しかし、ディープフェイク技術はお笑いや政治的な攻撃だけに限定されるものではない。この技術は入手しやすくなり、説得力も増しているため、一般消費者に対するより効果的な攻撃が前面に出てきている。 6月には、FBIが雇用主に対して、偽の従業員がこのテクノロジーを使って組織を欺くために偽って求人に応募することについて警告を発したほどだ。

Deepfakeのビデオや音声は現在、より標準的なフィッシング攻撃を強化し、被害者に身近な人と関わっていると思わせ、機密情報や詳細情報を提供するよう圧力をかけるために使用されている。

ターミネーター

これは、背筋がゾッとするようなソーシャル・エンジニアリング攻撃の一種である。 最近のAIと機械学習の進歩により、攻撃者はデータをスクレイピングし、氏名、生年月日、勤務先の詳細などの説得力のある情報を攻撃に組み込むことで、スピアフィッシングと呼ばれる高度な標的型攻撃を自動化できるようになっている。

合法的な情報を十分に明らかにすることで、消費者は誤った安心感に誘われ、認証情報を共有する可能性がさらに高まる。 現在、自動化は驚くべき速度とレベルで進んでおり、この攻撃は今後も繰り返されるだろう。

ブー、パスワード!

オンラインで最も貴重な認証情報を共有することから真に身を守る唯一の方法は、そもそも共有できる認証情報を持たないことだ。 パスワードがハロウィーンのお菓子のようなものであるなら、私たちは、そのようなものに移行する。 共有できない FIDO暗号ベースのサインインやデバイス上の生体認証のように、たとえあなたが騙されたとしても、詐欺師は腹をくくることになる。

FIDO認証は、世界最大のハイテク企業、多数のサービス・プロバイダー、およびセキュリティ関係者の世界的な協力によって作成されたもので、広く利用可能な唯一のフィッシング耐性のある認証方法である。 米国や英国のような政府は、組織が堅牢なサイバーセキュリティを導入し、利用するための「ゴールドスタンダード」としてFIDOを挙げることが増えている。 FIDOテクノロジーは、大企業も中小企業も容易に導入可能であり、クラウドフレアが最近サイバー攻撃を阻止したことが示すように、効果的である。

FIDO技術は、消費者の間でも容易に利用できるようになり、ユビキタスになろうとしている。 今年初め、世界最大のプラットフォームであるアップル、グーグル、マイクロソフトは、我々の新しいセキュリティ・キー規格であるFIDOマルチデバイス認証情報(別名「パスキー」)のサポートを約束した。 つまり、私たちが最もよく使うブラウザやデバイスで、モバイルデバイスで毎日使っているのと同じジェスチャーで、生体認証やPINを使ってFIDOベースのパスワードレスサインイン技術にアクセスできるようになる日が近いということだ。

このサイバーセキュリティ啓発月間に、私たちはサービス・プロバイダーに対し、フィッシングに強いパスワードレス認証をロードマップに載せるよう促している。