ソース:CryptoNewsNet オリジナルタイトル:なぜ企業はソーシャルエンジニアリング攻撃を止められないのか? | 意見 オリジナルリンク: 過去1年間、暗号業界で最も大きなエクスプロイトのほとんどは同じ根本原因に起因しています:人々です。過去数ヶ月だけでも、Ledgerはnpmメンテナが騙されて悪意のあるパッケージが拡散された後、オンチェーン活動を一時停止するようユーザーに促し、WorkdayはサードパーティのCRMにアクセスしたソーシャルエンジニアリングキャンペーンを公開し、国家支援の運営者は暗号チームに対して偽の求人誘引を続けてマルウェアを配布しました。
サイバーセキュリティに何十億も投資しているにもかかわらず、企業はシンプルなソーシャルエンジニアリングにより攻撃を受け続けています。チームは技術的な安全策、監査、コードレビューに資金を投入する一方で、運用セキュリティ、デバイスの衛生管理、基本的な人間の要素を疎かにしています。より多くの金融活動がオンチェーンに移行するにつれ、その盲点はデジタルインフラのシステムリスクとなります。
ソーシャルエンジニアリング攻撃の増加を抑える唯一の方法は、これらの戦術のペイオフを減らす広範で持続的な運用セキュリティへの投資です。
Verizonの2025年データ侵害調査報告書は、サイバーセキュリティの「人間要素」(フィッシング、盗まれた資格情報、日常的なミス)がデータ侵害の約60%に関係していると結論付けています。
ソーシャルエンジニアリングが効果的なのは、それがコードではなく人をターゲットにしているからです。信頼、緊急性、馴染み、ルーチンを悪用します。これらのタイプのエクスプロイトはコード監査だけでは排除できず、自動化されたサイバーセキュリティツールだけでは防ぎにくいです。コードレビューやその他の一般的なサイバーセキュリティの実践だけでは、マネージャーからのように見える不正なリクエストを承認したり、正当なソフトウェアアップデートのふりをした偽のダウンロードを防ぐことはできません。
高度な技術チームも捕まることがあります。人間の弱さは普遍的で頑固です。その結果、ソーシャルエンジニアリングは現実のインシデントを引き起こし続けています。
プログラム可能な資金はリスクを集中させます。Web3では、シードフレーズやAPIトークンの侵害は銀行の金庫を破るのと同じです。暗号取引の不可逆性はミスを増幅させます。一度資金が動けば、その取引を逆転させる方法はほとんどありません。デバイスのセキュリティやキーの取り扱いに一つのミスがあれば、資産を一掃することも可能です。Web3の分散型設計は、しばしばヘルプデスクが存在しないため、ユーザーは自己責任で対処しなければなりません。
国家支援の運営者を含むハッカーは、ソーシャルエンジニアリング攻撃の効果を認識し、それに適応しています。運用は偽の求人、毒されたPDF、悪意のあるパッケージ、ターゲットを絞ったフィッシングなど、人間の脆弱性を突く手法に大きく依存しています。
これらのエクスプロイトは驚くほど効果的で実行も簡単であり、テック企業はこれに対抗できていないようです。ゼロデイエクスプロイトは迅速にパッチされ(ハッカーは新たなエクスプロイト戦略を見つける必要に迫られる)のに対し、ハッカーは同じソーシャルエンジニアリング戦術を繰り返し自律的に利用し続け、ハッキングに多くの時間を費やし、研究開発にはあまり時間を割きません。
多くの組織は依然としてセキュリティをコンプライアンスのための作業とみなしており、その態度は緩い規制基準によって強化されています。企業は定期的に監査に合格し、完璧な報告書を公開しながらも、管理者キーが個人のノートパソコンに保存されていたり、チャットやメールで資格情報を共有したり、古いアクセス権が放置されたままだったり、出張用ノートパソコンを開発用に再利用したりといった重大な運用リスクを抱えています。
この規律の欠如を改善するには、明確で強制的な運用セキュリティの導入が必要です。チームは管理されたデバイス、強力なエンドポイント保護、全ディスク暗号化を使用すべきです。企業のログインにはパスワードマネージャーやフィッシング耐性のある多要素認証(MFA)を活用し、システム管理者は権限とアクセスを慎重に管理すべきです。これらのコントロールは万能ではありませんが、ソーシャルエンジニアリング攻撃を難しくし、潜在的なエクスプロイトの影響を軽減します。
最も重要なのは、チームが運用セキュリティのトレーニングに投資することです。従業員(サイバーセキュリティチームではなく)が、ソーシャルエンジニアリング攻撃に対する最初の防御線です。企業は、フィッシング攻撃を見抜く訓練、安全なデータ管理の実践、運用セキュリティの理解を促進するための時間を費やすべきです。
重要なのは、組織が自主的に堅牢なサイバーセキュリティ態勢を採用することを期待できない点です。規制当局が介入し、実効性のある運用基準を設定し、真のセキュリティを義務化する必要があります。コンプライアンスの枠組みは文書化を超え、検証済みの鍵管理、定期的なアクセスレビュー、エンドポイントの強化、模擬フィッシング訓練などの証明可能な証拠を求めるべきです。規制の力がなければ、インセンティブは常に見た目の良さを優先し、実効性を犠牲にします。
今こそ運用セキュリティに投資すべき時です。攻撃の速度は指数関数的に増加しています。
生成AIは欺瞞の経済性を変えました。攻撃者は今やフィッシングを個別化、ローカライズ、自動化し、産業規模で行えるようになっています。かつては一人のユーザーや企業を狙ったキャンペーンも、今やほとんどコストを増やさずに何千もの企業をターゲットにできるのです。フィッシングは数クリックで個人情報を盛り込み、偽のメールを本物のように見せることが可能です。
AIはまた、偵察も加速させます。公開された足跡、漏洩した資格情報、オープンソースの情報を収集し、「ブリーフィング」としてまとめ、ハッカーが非常に説得力のある攻撃を展開するのに役立てています。
ソーシャルエンジニアリングは、暗黙の信頼と利便性が検証や慎重さを上回る場所で繁栄します。組織はより防御的な姿勢を採用し(正しく)、常にソーシャルエンジニアリング攻撃の脅威にさらされていると想定すべきです。
日常の運用にゼロトラスト原則を導入し、運用セキュリティの原則を全社に浸透させるべきです。従業員に対して運用セキュリティの訓練を行い、早期に攻撃を防ぎ、最新のソーシャルエンジニアリング戦術に関する情報を提供し続ける必要があります。
最も重要なのは、信頼がまだ存在する場所を見極め、そこに追加の安全策を施すことです(攻撃者が従業員、ソフトウェア、顧客になりすますことができる場所)。
ソーシャルエンジニアリングは消えませんが、その効果を大幅に減らし、攻撃が発生した場合の被害も抑えることができます。業界がこれらの攻撃に対して堅牢になればなるほど、ハッカーにとっての収益性は低下し、攻撃の頻度も減少し、この絶え間ないエクスプロイトのサイクルに終止符を打つことができるのです。
10.07K 人気度
29.98K 人気度
4.78K 人気度
21.05K 人気度
118.49K 人気度
なぜ企業はソーシャルエンジニアリング攻撃を止められないのか? | 意見
ソース:CryptoNewsNet オリジナルタイトル:なぜ企業はソーシャルエンジニアリング攻撃を止められないのか? | 意見 オリジナルリンク: 過去1年間、暗号業界で最も大きなエクスプロイトのほとんどは同じ根本原因に起因しています:人々です。過去数ヶ月だけでも、Ledgerはnpmメンテナが騙されて悪意のあるパッケージが拡散された後、オンチェーン活動を一時停止するようユーザーに促し、WorkdayはサードパーティのCRMにアクセスしたソーシャルエンジニアリングキャンペーンを公開し、国家支援の運営者は暗号チームに対して偽の求人誘引を続けてマルウェアを配布しました。
要約
サイバーセキュリティに何十億も投資しているにもかかわらず、企業はシンプルなソーシャルエンジニアリングにより攻撃を受け続けています。チームは技術的な安全策、監査、コードレビューに資金を投入する一方で、運用セキュリティ、デバイスの衛生管理、基本的な人間の要素を疎かにしています。より多くの金融活動がオンチェーンに移行するにつれ、その盲点はデジタルインフラのシステムリスクとなります。
ソーシャルエンジニアリング攻撃の増加を抑える唯一の方法は、これらの戦術のペイオフを減らす広範で持続的な運用セキュリティへの投資です。
ソーシャルエンジニアリングはサイバーセキュリティのアキレス腱
Verizonの2025年データ侵害調査報告書は、サイバーセキュリティの「人間要素」(フィッシング、盗まれた資格情報、日常的なミス)がデータ侵害の約60%に関係していると結論付けています。
ソーシャルエンジニアリングが効果的なのは、それがコードではなく人をターゲットにしているからです。信頼、緊急性、馴染み、ルーチンを悪用します。これらのタイプのエクスプロイトはコード監査だけでは排除できず、自動化されたサイバーセキュリティツールだけでは防ぎにくいです。コードレビューやその他の一般的なサイバーセキュリティの実践だけでは、マネージャーからのように見える不正なリクエストを承認したり、正当なソフトウェアアップデートのふりをした偽のダウンロードを防ぐことはできません。
高度な技術チームも捕まることがあります。人間の弱さは普遍的で頑固です。その結果、ソーシャルエンジニアリングは現実のインシデントを引き起こし続けています。
暗号はリスクを高める
プログラム可能な資金はリスクを集中させます。Web3では、シードフレーズやAPIトークンの侵害は銀行の金庫を破るのと同じです。暗号取引の不可逆性はミスを増幅させます。一度資金が動けば、その取引を逆転させる方法はほとんどありません。デバイスのセキュリティやキーの取り扱いに一つのミスがあれば、資産を一掃することも可能です。Web3の分散型設計は、しばしばヘルプデスクが存在しないため、ユーザーは自己責任で対処しなければなりません。
国家支援の運営者を含むハッカーは、ソーシャルエンジニアリング攻撃の効果を認識し、それに適応しています。運用は偽の求人、毒されたPDF、悪意のあるパッケージ、ターゲットを絞ったフィッシングなど、人間の脆弱性を突く手法に大きく依存しています。
これらのエクスプロイトは驚くほど効果的で実行も簡単であり、テック企業はこれに対抗できていないようです。ゼロデイエクスプロイトは迅速にパッチされ(ハッカーは新たなエクスプロイト戦略を見つける必要に迫られる)のに対し、ハッカーは同じソーシャルエンジニアリング戦術を繰り返し自律的に利用し続け、ハッキングに多くの時間を費やし、研究開発にはあまり時間を割きません。
企業は運用セキュリティに投資すべき
多くの組織は依然としてセキュリティをコンプライアンスのための作業とみなしており、その態度は緩い規制基準によって強化されています。企業は定期的に監査に合格し、完璧な報告書を公開しながらも、管理者キーが個人のノートパソコンに保存されていたり、チャットやメールで資格情報を共有したり、古いアクセス権が放置されたままだったり、出張用ノートパソコンを開発用に再利用したりといった重大な運用リスクを抱えています。
この規律の欠如を改善するには、明確で強制的な運用セキュリティの導入が必要です。チームは管理されたデバイス、強力なエンドポイント保護、全ディスク暗号化を使用すべきです。企業のログインにはパスワードマネージャーやフィッシング耐性のある多要素認証(MFA)を活用し、システム管理者は権限とアクセスを慎重に管理すべきです。これらのコントロールは万能ではありませんが、ソーシャルエンジニアリング攻撃を難しくし、潜在的なエクスプロイトの影響を軽減します。
最も重要なのは、チームが運用セキュリティのトレーニングに投資することです。従業員(サイバーセキュリティチームではなく)が、ソーシャルエンジニアリング攻撃に対する最初の防御線です。企業は、フィッシング攻撃を見抜く訓練、安全なデータ管理の実践、運用セキュリティの理解を促進するための時間を費やすべきです。
重要なのは、組織が自主的に堅牢なサイバーセキュリティ態勢を採用することを期待できない点です。規制当局が介入し、実効性のある運用基準を設定し、真のセキュリティを義務化する必要があります。コンプライアンスの枠組みは文書化を超え、検証済みの鍵管理、定期的なアクセスレビュー、エンドポイントの強化、模擬フィッシング訓練などの証明可能な証拠を求めるべきです。規制の力がなければ、インセンティブは常に見た目の良さを優先し、実効性を犠牲にします。
ソーシャルエンジニアリングはさらに悪化する
今こそ運用セキュリティに投資すべき時です。攻撃の速度は指数関数的に増加しています。
生成AIは欺瞞の経済性を変えました。攻撃者は今やフィッシングを個別化、ローカライズ、自動化し、産業規模で行えるようになっています。かつては一人のユーザーや企業を狙ったキャンペーンも、今やほとんどコストを増やさずに何千もの企業をターゲットにできるのです。フィッシングは数クリックで個人情報を盛り込み、偽のメールを本物のように見せることが可能です。
AIはまた、偵察も加速させます。公開された足跡、漏洩した資格情報、オープンソースの情報を収集し、「ブリーフィング」としてまとめ、ハッカーが非常に説得力のある攻撃を展開するのに役立てています。
攻撃の速度を遅らせる
ソーシャルエンジニアリングは、暗黙の信頼と利便性が検証や慎重さを上回る場所で繁栄します。組織はより防御的な姿勢を採用し(正しく)、常にソーシャルエンジニアリング攻撃の脅威にさらされていると想定すべきです。
日常の運用にゼロトラスト原則を導入し、運用セキュリティの原則を全社に浸透させるべきです。従業員に対して運用セキュリティの訓練を行い、早期に攻撃を防ぎ、最新のソーシャルエンジニアリング戦術に関する情報を提供し続ける必要があります。
最も重要なのは、信頼がまだ存在する場所を見極め、そこに追加の安全策を施すことです(攻撃者が従業員、ソフトウェア、顧客になりすますことができる場所)。
ソーシャルエンジニアリングは消えませんが、その効果を大幅に減らし、攻撃が発生した場合の被害も抑えることができます。業界がこれらの攻撃に対して堅牢になればなるほど、ハッカーにとっての収益性は低下し、攻撃の頻度も減少し、この絶え間ないエクスプロイトのサイクルに終止符を打つことができるのです。