規模の大小に関わらず、世間を賑わすデータ侵害は絶え間なく増加しています。ホリデーシーズンに商品が届かないといったクレームは、サイバー犯罪者が多用する手口のひとつです。
詐欺師は、2018年のサイバー詐欺のトップ10リストにあるフィッシングEメールを送信するか、さもなければ悪質なリンクやファイルなどを開かせるために、さまざまなメディアを介してつながりを持とうとします。
昨年、サイバー犯罪者が主にターゲットにしたのは、疑うことを知らないユーザです。特に企業の従業員は、マルウェアやフィッシングに悪用されるログインページを思わずダウンロードしています。
もうひとつの注目すべき傾向は、マルウェアがEメールを介してスマートフォンに配信されるようになったことです。これにより、攻撃者は人々のモバイルデバイスを経由して企業の内部ネットワークやその他の機密データにアクセスするようになりました。
サイバーセキュリティの専門家不足は依然として深刻ですが、エフセキュアはこの課題にも対応してきました。フィンランドのサイバーセキュリティ企業である当社は、MWR InfoSecurityを買収したことにより、デンマーク(英語)、フィンランド、および現在では英国にも教育機関を保有しています。
以下のビデオでは、プリンシパルセキュリティコンサルタントのDonato Capitella(ドナート・カピテラ)が、サイバーセキュリティ業界の新人教育の一環として、ネットワークに潜入する方法をどのようにトレーニングしているかについて説明しています。これには、架空のEコマース小売業者をハッキングすることが含まれています。
この実習では、実際のエンドツーエンド攻撃がどのようなものであるかをデモするために、まず悪意のあるペイロードを含むフィッシングEメールを使用して、攻撃の足場とC2(Command&Control)チャネルを確立します。
次に、目的を達成するために、異なる列挙、特権の昇格、および侵入拡大の各テクニックを活用します。この小売業者には、ファイアウォールの内側で隔離された環境に、自動化された倉庫を運用している中核サーバーが複数存在します。生徒の最終的な課題は、これらの中核サーバーのひとつに到達することです。
詳細については、以下の3分間のビデオをご覧ください。
