本ブログ記事は、2022年3月31日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
午前 3 時、スマートフォンがけたたましく鳴り始めました。スマホの画面にはアカウントの一つへのログインに同意するよう促すポップアップが表示されています。再び眠りにつけるように、本能的な反応として、やみくもに「OK」ボタンを押す人もいるかもしれません。しかし、このような行動が潜在的なデータ侵害の第一歩となる恐れがあります。
プロンプト爆撃とは?
プロンプト爆撃の中核をなすのはある種のソーシャルエンジニアリングです。ほとんどの人は、ソーシャルエンジニアリング戦術とは攻撃者が恐怖や心地良い刺激を利用してリンクをクリックさせたりファイルを実行させたりするものだと考えがちです。しかしながら、私たちの正常な判断の邪魔をするのに有益な精神状態はほかにもあり、犯罪者が悪用しかねない注意散漫な状態でのクリックが招く結果もこれ以外にあります。
プロンプト爆撃では、通知の煩わしさがいら立ちや注意散漫へとつながります。その結果、通知を消し去りたいがためにクリックしてしまい、攻撃者にアカウントへのアクセスや悪質なコードの実行を許してしまうのです。
効果的なレベルの煩わしさを与えることができる最も明白な方法は、それまで行っていたことを継続するためにクリックして消し去る必要のある、とんでもない数の何らかの通知を誰かが送信することです。または、とても恐ろしい、あるいは恥ずかしい何かを画面に表示させる方法もあります。しかし、コンピューターやモバイルデバイスで人をいら立たせる方法はこれらに限られないことは確かであり、犯罪者はその非道な行為の遂行のための創造力には事欠きません。
最近のニュース記事では、プロンプト爆撃に関する話題は主にLAPSUS$と Cozy Bear の活動を中心としたものになっています。具体的には、これらの集団がこの手法を用いて多要素認証(MFA)をバイパスしていることが取り上げられています。しかし、セキュリティ担当者はパスワードセキュリティの域を超えたこの手法の用途についても考える価値があります。実際、ユーザーがプロンプトをクリックして進む必要があるすべての場面で使われる可能性があります。
セキュリティ教育とテクノロジーの出番
セキュリティ関係者であれば、真夜中に見慣れない通知を受け取ると、目が覚めてしまうのが自然な反応です。しかし、ほとんどの人は、状況の把握ができていないとこのような反応はしません。
この点については、テクノロジーと教育によって改善させることができます。
理想的には、ユーザーが何らかの行動を取るように促される割合を抑えられるようなオプションをすべて活用すべきです。また、強化されたインテリジェンスを採用したテクノロジーを活用して、各ユーザーにとって何が「正常」な行動であるかを把握する必要があります。そうすることで、疑わしい行動を阻止(または少なくともセキュリティ担当者に確認を求めるアラートを通知)することができます。
しかし、もう一つ必要なこととして、ユーザーがこの戦術を目にした際に何をすべきかを理解している必要があります。その行動がなぜ疑わしいのか、また攻撃者の試みが何を意味するのかを知るための教育が必要です。また、ユーザーは、誰かに責められることなく、昼夜を問わず、自身が目にしたものを報告できるということを認識している必要があります。真夜中にスマートフォンを手探りで操作していて誤って「OK」ボタンを押してしまった場合も同様です。
・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
・サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
・BlackBerry Japan:https://www.blackberry.com/ja/jp
