盗まれた従業員の資格情報は、攻撃者が企業のインフラストラクチャに侵入する最も効果的な方法の 2022 つです。 XNUMX 年、モバイル フィッシング攻撃の数はかつてないほど増加しました。
いずれかのアカウントの資格情報を入手すると、セキュリティ対策を迂回して機密データにアクセスするのがはるかに簡単になります。 しかし、攻撃者はこれらの資格情報をどのように入手するのでしょうか? 多くの場合、答えはモバイル フィッシングです。 Lookout によるグローバルな調査「The Global State of Mobile Phishing Report」によると、2022 年のモバイル フィッシング攻撃の数は過去最高でした。個人のデバイスの 2023 分の XNUMX と企業のデバイスの XNUMX 分の XNUMX が、少なくとも XNUMX つの影響を受けていました。攻撃は四半期ごとに中断されます。 この傾向は、XNUMX 年の第 XNUMX 四半期も衰えずに続きました。
BYOD がフィッシングの状況をどのように変えたか
🔎 2022 年の世界中の携帯電話に対するモバイル フィッシング攻撃の頻度 (画像: Lookout)。
ハイブリッド ワーク環境と BYOD (Bring Your Own Device) ポリシーが、増加の XNUMX つの理由である可能性があります。 企業は、個人のモバイル デバイスが業務目的でますます使用されるようになっていることを受け入れなければなりませんでした。 ただし、個人用または企業用、管理対象または管理対象外、iOS または Android などのモバイル デバイスはすべて、フィッシング攻撃に対して脆弱であることを覚えておくことが重要です。
スマートフォンとタブレットのおかげで、従業員はどこからでも簡単に生産性を維持できるようになりましたが、IT およびセキュリティ チームに新たな課題ももたらしました。 BYOD ポリシーにより、これまで以上に個人のデバイスを仕事に使用する人が増えています。 これは、個人的な理由でこれらのデバイスを使用するときに直面するリスクが、会社にとってもリスクをもたらすことを意味します。 また、IT およびセキュリティ チームは、企業所有のデバイスに比べてこれらのデバイスに対する可視性が大幅に低下するため、これらの増大するリスクを制御することが難しくなります。
従業員の私用デバイスに対する標的型攻撃
これらの要因は、攻撃者が現在、企業環境に侵入するためにユーザーの個人用デバイスを標的にしていることを意味します。 従業員は、ソーシャル メディア、WhatsApp、電子メールなどのプライベート チャネルを介したソーシャル エンジニアリング攻撃の犠牲者になる可能性があります。 この場合、攻撃者は雇用主のネットワークやデータにアクセスできます。 また、これは 2022 回限りのイベントではありません。Lookout のデータによると、50 年までに個人のデバイスの XNUMX% 以上が少なくとも四半期に XNUMX 回、何らかの形のモバイル フィッシング攻撃にさらされていることが示されています。
数百万が危機に瀕している
従業員がフィッシング詐欺に遭った場合、企業が危険にさらされるのはデータだけではありません。 Lookout の推定によると、フィッシング攻撃が成功した場合の最大の経済的影響は、従業員 5.000 人の企業では約 XNUMX 万ドルに増加します。 保険、銀行、法律などの高度に規制された業界は、最も収益性の高い市場と見なされており、大量の機密データを保持しているため、攻撃に対して特に脆弱です。
これらの高いコストは、フィッシング攻撃が史上最高に達しているときに発生します。 2020 年と比較すると、フィッシング攻撃の数は企業のデバイスで 10%、個人のデバイスで 20% 増加しています。 また、人々は 2020 年よりも頻繁にフィッシング リンクをクリックするようになっています。 これまで以上に多くのリスクとお金がかかっているため、組織はセキュリティ戦略を適応させてデータを保護する必要があります。
モバイル フィッシングの脅威からデータを保護する
特にリモートワークが増加するにつれて、モバイルフィッシングの状況はかつてないほど危険になっています。 IT およびセキュリティ チームは、従業員のすべてのデバイスでのフィッシング攻撃によってもたらされるデータ リスクを視覚化、検出、および軽減できるようにする戦略を採用する必要があります。 これは、デバイスが会社所有か私用かに関係なく適用されます。 ゼロ トラストの原則と SASE (Secure Access Service Edge) に基づく適切な戦略により、ハイブリッド ワーキング ワールドを安全にすることができます。
「クラウドベースのセキュリティ プラットフォームを介したオンデバイスおよび AI 搭載のフィッシング検出により、攻撃を開始時に阻止することが可能になります。 このようなセキュリティ ソリューションは、ユーザーが企業と個人の両方のデバイスでフィッシング Web サイトに接続するのを防ぎます」と、Lookout のグローバル MSSP ソリューション アーキテクトである Sascha Spangenberg は述べています。 「このようなソリューションは、あらゆるモバイル アプリを介したフィッシング攻撃を検出してブロックし、従業員が資格情報を明らかにしたり、悪意のあるソフトウェアをダウンロードしたりするのを防ぎます。 ハイブリッド ワーキングが現実のものとなった場合、モバイル フィッシングの脅威に対する保護は最優先事項でなければなりません。」
詳しくは Lookout.com をご覧ください
ルックアウトについて Lookout の共同設立者である John Hering、Kevin Mahaffey、および James Burgess は、ますます接続された世界がもたらすセキュリティとプライバシーのリスクから人々を保護することを目標に、2007 年に集まりました。 スマートフォンが誰もがポケットに入れる前から、モビリティが私たちの働き方や生活に大きな影響を与えることに気づいていました。