開示
ここで表明される見解や意見は著者のものであり、crypto.newsの編集部の見解や意見を代表するものではありません。
暗号業界の脆弱性
過去1年間、暗号業界での最大の脆弱性の多くは同じ根本的な原因を持っています。それは人間です。ここ数ヶ月だけでも、Ledgerはnpmのメンテナが騙され、悪意のあるパッケージが広がった後にユーザーにオンチェーン活動を一時停止するよう促しました。Workdayは、第三者のCRMにアクセスするソーシャルエンジニアリングキャンペーンを開示しました。また、北朝鮮に関連するオペレーターは、暗号チームにマルウェアを配布するために偽の求人を続けています。
サイバーセキュリティに数十億ドルを費やしているにもかかわらず、企業は単純なソーシャルエンジニアリングに打ち負かされ続けています。
運用セキュリティの重要性
技術的な安全策、監査、コードレビューにお金を注ぎ込む一方で、運用セキュリティ、デバイスの衛生、基本的な人間要因を無視しています。より多くの金融活動がオンチェーンに移行するにつれて、その盲点はデジタルインフラに対する体系的なリスクとなります。ソーシャルエンジニアリング攻撃の急増を抑える唯一の方法は、これらの戦術の利益を減少させる運用セキュリティへの広範で持続的な投資です。
Verizonの2025年データ侵害調査報告書は、サイバーセキュリティの「人間要素」(フィッシング、盗まれた資格情報、日常的なミス)が約60%のデータ侵害に関連していることを示しています。ソーシャルエンジニアリングは、人々をターゲットにし、コードではなく信頼、緊急性、親しみ、日常を利用するため、効果的です。
脆弱性の影響
この種の脆弱性は、コーディング監査を通じて排除することはできず、自動化されたサイバーセキュリティツールで防御するのも難しいです。高度に技術的なチームでさえも捕まります。人間の弱さは普遍的で頑固です。その結果、ソーシャルエンジニアリングは現実の事件を引き起こし続けています。
プログラム可能なマネーはリスクを集中させます。web3では、シードフレーズやAPIトークンを妥協することは、銀行の金庫を侵害することに相当します。暗号取引の不可逆的な性質は、ミスを増幅させます:一度資金が移動すると、取引を逆転させる方法はほとんどありません。
セキュリティ対策の必要性
デバイスのセキュリティやキー管理の単一の失敗が資産を消失させる可能性があります。web3の分散型設計は、しばしば連絡先がないことを意味し、ユーザーは自分自身で対処しなければなりません。ハッカー、特に国家に支援された傭兵は、ソーシャルエンジニアリング攻撃の効果を認識し、それに応じて適応しています。
北朝鮮のラザルスグループに帰属するオペレーションは、偽の求人、毒入りPDF、悪意のあるパッケージ、そして人間の脆弱性を狙ったカスタマイズされたフィッシングに大きく依存しています。
運用セキュリティの強化
あまりにも多くの組織は、依然としてセキュリティをコンプライアンスの演習として扱っています。企業は、個人のラップトップに保存された管理者キー、チャットやメールで共有された資格情報、決して更新されない古いアクセス権、開発機として再利用された旅行用ラップトップなど、明らかな運用リスクを抱えながら、監査を通過し、完璧な報告書を公開することが日常的です。
この規律の失敗を修正するには、明示的で強制的な運用セキュリティが必要です。チームは、管理されたデバイス、強力なエンドポイント保護、全ディスク暗号化を使用するべきです。会社のログインはパスワードマネージャーとフィッシング耐性のあるMFAを活用し、システム管理者は特権とアクセスを慎重に管理するべきです。
教育とトレーニングの重要性
最も重要なのは、チームが運用セキュリティトレーニングに投資する必要があることです。従業員(サイバーセキュリティチームではなく)がソーシャルエンジニアリング攻撃に対する最初の防衛線です。企業は、チームがフィッシング攻撃を見分け、安全なデータ衛生を実践し、運用セキュリティの実践を理解するためのトレーニングに時間を費やすべきです。
重要なのは、組織が強化されたサイバーセキュリティの姿勢を自発的に採用することを期待できないということです。規制当局は介入し、実行可能な運用の基準を設定し、実際のセキュリティをオプションではなくする必要があります。
規制とインセンティブ
コンプライアンスフレームワークは、文書を超えて、セキュアな実践の実証可能な証拠を要求するべきです:検証されたキー管理、定期的なアクセスレビュー、エンドポイントの強化、シミュレーションされたフィッシングの準備。規制の歯がなければ、インセンティブは常に結果よりも見た目を優先することになります。
未来への投資
攻撃の頻度が指数関数的に増加しているため、今こそ運用セキュリティに投資することが重要です。生成AIは欺瞞の経済を変えました。攻撃者は、フィッシングを産業規模でパーソナライズ、ローカライズ、自動化できるようになりました。
フィッシング攻撃は、数回のクリックでパーソナライズでき、親密な詳細を組み込んで偽のメールを正当なものに感じさせることができます。AIはまた、偵察を加速させます。公開された足跡、漏洩した資格情報、オープンソースのインテリジェンスは、各被害者に関する「ブリーフ」にマイニングされ、組み立てられ、ハッカーが非常に説得力のある攻撃を展開するのを助けます。
結論
ソーシャルエンジニアリングは、暗黙の信頼と便利さが検証と慎重さを上回る場所で繁栄します。組織は、より防御的な姿勢を採用し、(正しく)ソーシャルエンジニアリング攻撃の脅威に常にさらされていると仮定する必要があります。チームは、日常業務にゼロトラストの原則を採用し、会社全体に運用セキュリティの原則を組み込むべきです。
最も重要なのは、企業が自社の運用の中で信頼がまだ存在する場所(攻撃者が従業員、ソフトウェア、顧客を偽装できる場所)を見つけ、追加の安全策を講じる必要があることです。ソーシャルエンジニアリングは消えませんが、攻撃が発生したときにそれをはるかに効果的で壊滅的でないものにすることができます。
業界がこれらの攻撃に対抗して強化されるにつれて、ソーシャルエンジニアリングはハッカーにとって利益が少なくなり、攻撃の頻度は減少し、ついにこの息を呑むような脆弱性のサイクルに実際の終止符が打たれるでしょう。
