コードホスティング事業を展開するGitLabは最近、完全リモートワークの従業員がフィッシング攻撃にどの程度脆弱かをテストするセキュリティ演習を終了したが、参加者の5分の1が偽のログインページに認証情報を送信した。
この模擬攻撃は、GitLab の従業員に認証情報を渡させることを目的とした標的型フィッシング キャンペーンをシミュレートしたものです。
GitLabレッドチーム(攻撃者役のセキュリティ担当者)は、gitlab.companyというドメイン名を取得し、オープンソースのGoPhishフレームワークとGoogleのGSuiteを使用してフィッシングメールを送信する設定を行いました。メッセージは、GitLabのIT部門からのノートパソコンのアップグレード通知を装うように設計されていました。
「ターゲットはアップグレードを受け入れるためにリンクをクリックするように求められましたが、このリンクはドメイン「gitlab.company」でホストされている偽のGitLab.comログインページでした」とセキュリティマネージャーのスティーブ・マンズイク氏はGitLabの投稿で説明した。
内部からの脅威?ふん。ベライゾンによると、あなたのプライベートビジネスデータを盗み出すのは、主に外部のハッカーだという。
続きを読む
「攻撃者は偽サイトに入力されたユーザー名とパスワードの両方を簡単に取得できますが、レッドチームは、この演習では電子メールアドレスまたはログイン名を取得することのみが必要であると判断しました。」
50通のメールが送信され、17人(34%)がメッセージ内のリンクをクリックし、模擬フィッシングサイトへと誘導しました。そのうち10人(クリックした人の59%、テストグループ全体の20%)が認証情報を入力しました。そして、50人のメッセージ受信者のうち、わずか6人(12%)がGitLabのセキュリティ担当者にフィッシング攻撃を報告しました。
Verizonの2020年データ漏洩調査報告書によると、データ漏洩インシデントの22%はフィッシングに関連し、インシデントの約90%はソーシャルインタラクションに関連していました。しかし、DBIRは、フィッシングメッセージのクリック率はGitLabで確認された20%よりもはるかに低い3.4%であると示唆しています。
別のセキュリティ企業Rapid7は、フィッシングメールのリンククリック率は調査によって7%から45%と幅があると述べています。セキュリティ研修・啓発事業を展開するKnowBe4の2018年のレポートでは、フィッシング被害に遭いやすい従業員の割合は業界全体で平均27%とされています。
GitLabのセキュリティ担当副社長、ジョナサン・ハント氏はThe Registerへの電子メールで、同社の結果が業界平均を上回っているのは心強いと述べた。
チームはフィッシング詐欺に引っかかる人が増えるだろうと想定していたが、その想定は誤りであることが判明した。
「当初、チームはフィッシング詐欺に引っかかる人が増えるだろうと想定していましたが、その想定は誤りであることが判明しました」とハント氏は述べた。「一部のベンダーは、フィッシング詐欺の平均成功率は30~40%程度だと主張しています。そのため、当社の成功率がそれより低い傾向にあるのは喜ばしいことです。」
GitLabの調査結果は、在宅勤務者に関するセキュリティ上の懸念を浮き彫りにしています。COVID-19のパンデミックと、企業のリモートワークへの寛容さ、あるいは奨励の高まりにより、在宅勤務者数は増加の一途を辿っています。在宅勤務者は自らIT管理者となり、その役割を担うには多くの従業員が不足しています。
ハント氏は、フィッシングが依然として蔓延していることを指摘し、従業員がどこにいても従業員教育を行う必要があると強調した。
「これは、リモートワークの有無にかかわらず、企業は従業員に対し、メールのやり取りに関して適切なレベルの注意を払うよう教育する必要があることを意味します」とハント氏は述べた。「組織がリモートワークに移行し、クラウドサービスを活用するようになるにつれて、ユーザーのID管理と多要素認証が非常に重要になります。」
ハント氏は、GitLabは多要素認証を導入しており、今回の攻撃がシミュレーションでなければ従業員を保護していたはずだと述べた。今後のテストでは、こうした追加のセキュリティ対策を無効化する試みを行う予定だと述べた。
マンズイク氏は、GitLab の従業員に四半期ごとのフィッシング訓練について説明した会社のハンドブックを確認するよう奨励する必要があり、GitLab のセキュリティ チームはフィッシングについて従業員とより頻繁にコミュニケーションを取る必要があると結論付けました。®
