MailData

Baiting攻撃とは

Baiting攻撃とは?その防止方法とは?

甘い誘いにご用心!

2024年5月13日
著者: Ahona Rudra
翻訳: 逆井 晶子

この記事はPowerDMARCのブログ記事 What is a Baiting Attack, and How to Prevent it? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

Baiting攻撃は、世界中で使用されている最も一般的かつ成功率の高いソーシャルエンジニアリング手法の1つです。
では、サイバーセキュリティにおけるbaitingとは何でしょうか?
詳しくは以下をご覧ください。

重要なポイント

  1. サイバー犯罪者は、しばしばソーシャルエンジニアリング手法を用いて、個人を操作しセキュリティを危険にさらします。
  2. Baiting攻撃は、好奇心や欲望を利用して、被害者が自身のデバイスを危険にさらすよう誘導します。
  3. 従業員に最新のフィッシング手口を教育することは、baiting攻撃を防止する上で不可欠です。
  4. ウイルス対策およびマルウェア対策ソフトウェアを使用することで、脅威を検出・ブロックすることが可能です。
  5. 模擬攻撃は、弱点を特定し、従業員が不審な行動を認識できるように訓練するのに有効です。

サイバーセキュリティにおけるBaitingとは?

Baiting攻撃とは、ユーザの好奇心や欲望につけ込み、偽りの魅力的な誘い文句で行動を誘導するソーシャルエンジニアリングの一種です。
たとえば、攻撃者が悪意あるプログラム(ペイロード)を仕込んだUSBメモリをオフィスのロビーや駐車場などに故意に放置し、誰かが興味本位で接続することを期待します。
接続された瞬間に、USB内のマルウェアが実行されて感染が始まります。

また、Baitingのサイバー攻撃では、攻撃者が悪意あるファイルを添付したメールを被害者に送りつけることもあります。
受信者がその添付ファイルを開くと、マルウェアが自動的にインストールされ、ユーザの操作やデータが密かに監視されてしまいます。

また、攻撃者は悪意のあるコードをホストするWebサイトへのリンクを含んだメールを送ってきます。
そのリンクをクリックすると、マルウェアやランサムウェアに感染する可能性があります。

ハッカーはしばしば、baiting攻撃を用いて個人データや金銭を盗みます。
この攻撃手法は、サイバー犯罪者が人々を騙す新しい方法を見つけるにつれて、ますます一般的になっています。

関連記事:マルウェアとは?

Baiting攻撃の手法

Baitにはさまざまな形式があります。

オンラインダウンロード
これらはメール、SNS、インスタントメッセージングアプリ経由で送られる悪意のあるファイルのリンクです。
FacebookやInstagramメッセンジャーなどのインスタントメッセージアプリがリンクをフォロワーに送信することがあります。
マルウェア感染デバイス
攻撃者は、マルウェアを仕込んだコンピュータをダークウェブ上で販売します。
購入者はそのデバイスを自らのネットワークに接続し、マルウェアが実際に動作するかどうかを試すことで、意図的に感染の有無を確認します。
魅力的なオファー
これらのメールは、割引価格、あるいは無料で何かを購入するよう人々を誘います。
しかし、そのリンクは商品ではなく、マルウェアへと誘導します。

Baitingを用いたソーシャルエンジニアリングの具体例

以下に、人的な隙を突くBaiting攻撃の代表的なシナリオをご紹介します。

Baitingとフィッシングの違い

Baitingとフィッシングは異なる詐欺手法です。
基本的な違いは、Baitingが実在の企業や組織を利用するのに対し、フィッシングはメールの送信者が信頼できる人物であるかのように装う点です。

Baiting
実在の企業や組織を餌として利用し、個人情報の提供やリンクのクリックを誘導します。
これは、製品やサービスに関するスパムメール、ダイレクトメール、あるいはテレマーケティングの電話などの形で行われます。
その目的は、個人情報を不正に取得し、なりすましや不正アクセスなどに悪用することです。
フィッシング
通常メールの形で届き、添付ファイルやリンクを含んでおり、それを通じてコンピュータがマルウェアに感染する可能性があります。
また、銀行や金融機関を装い、金銭や口座情報の提供を求めることもあります。

関連記事:フィッシング vs スパム

Baiting攻撃を防止する方法

Baiting攻撃の成功を防ぐには、攻撃者の動機や目的を理解することが重要です。

1. 従業員を教育する
Baiting攻撃を成功させないための第一歩は、従業員に自己防衛の方法を教育することです。
これはトレーニングや啓発キャンペーンを通じて実施できますが、従業員が最新のフィッシング手口や手法について常に把握できるようにすることが重要です。
また、リンクをクリックしたり添付ファイルを開いたりする前に、潜在的な脅威を認識する方法も教えるべきです。
2. リンクを盲目的にクリックしない
従業員は、メールに書かれているリンクであれば誰かが送ってきたものだから安全だろうと考えて、つい何気なくクリックしてしまうことがあります。
しかし、それが常に正しいとは限りません。
フィッシング詐欺者は、あなたの会社のメールアドレスや、他の従業員(たとえば人事部のような)になりすましたメールを送ってくることがあります。
3. 自分自身を教育してBaiting攻撃を回避する

無料の金銭や商品など、「信じがたいほど都合のよい話」には懐疑的に考えることを学びましょう。
それほど都合の良い話は存在しないと考えるべきです。

誰かがメールやテキストで、たとえ銀行を名乗っていたとしても、個人情報や金融情報を求めてきた場合には、決して提供してはいけません。
代わりに、直接銀行に連絡し、そのメッセージが本当に銀行から送られたものかを確認したうえで、不審な送信元は、社内のセキュリティ担当または関係機関に報告しましょう。

4. ウイルス対策およびマルウェア対策ソフトを使用する
多くの優れたウイルス対策ソフトがありますが、すべてがBaiting攻撃から守ってくれるわけではありません。
最新の脅威を感染前に検出しブロックできるソフトウェアを導入しているかを確認する必要があります。
特にChromebookを使用しているユーザは、こうした脆弱性から守る信頼できるウイルス対策ソフトを見つけることが非常に重要です。
まだ導入していない場合は、「Malwarebytes Anti-Malware Premium」などのリアルタイム保護機能を備えたソフトウェアの利用を検討してください。
5. 外部デバイスをマルウェアチェックせずに使用しない
USBメモリや外付けHDDなどの外部ストレージには、マルウェアが仕込まれていることがあります。
こうしたデバイスをPCに接続すると、感染するリスクがあります。
必ず、接続前にウイルススキャンを実行して、安全を確認してください。
6. 模擬攻撃訓練を計画的に実施する
Baiting攻撃への対策として有効なのが、模擬攻撃を継続的かつ戦略的に実施することです。
こうしたシミュレーションにより、社内システムや運用手順の弱点を洗い出し、問題が現実化する前に改善することができます。
また、従業員が不審な動きを見抜く力を養うことができ、実際に攻撃が起こった際にどう対応すべきかを習得できます。

まとめ

Baiting攻撃は決して新しい手口ではありませんが、その手法は年々巧妙化しており、被害の規模も拡大しています。
ビジネスやブログ、フォーラムなどのオンラインサービスを運営しているのであれば、その資産を守る責任があります。
このような脅威には、被害が広がる前に早めに対策を講じることが重要です。