Header image

サービスデスクのエージェントは手助けをするために存在しており、IT問題と格闘しているときは、誰もがチャットボットよりも理解ある人間と話すことを好む。

残念ながら、サイバー犯罪者がサービスデスクを標的にする際に悪用しようとするのも、この人間的要素です。彼らはソーシャル・エンジニアリングを使って、サービスデスクのエージェントに甘言を使って認証情報を漏らしたり、パスワードをリセットさせたり、バックドア・アクセスを承認させたりします。

ここでは、ソーシャル・エンジニアリングがどのように行われるかを説明し、人間味を失うことなく、セキュリティ・チェーンの弱い部分を補強する方法をアドバイスします。

サービスデスクに対する最近の攻撃

最近、英国の大手小売業者数社がDragonForceランサムウェアに襲われたおかげで、サービスデスクのセキュリティがニュースになっている。

これらのケースでは、米国と英国を拠点とするサイバー犯罪グループScattered Spiderによるものとされる、サービスデスクでのソーシャル・エンジニアリングによって最初のアクセスが行われました。

  • Marks & Spencer(2025年4月~5月): 攻撃者はM&SのITヘルプデスクを騙してパスワードをリセットさせ、システムにアクセスし、個人顧客データを流出させた。この侵害により、オンライン注文とクリック&コレクトサービスが3週間以上停止した。
  • コープグループ(2025年5月):ほぼ同じ手口で、敵対者はコープグループのサービスデスクのスタッフを説得し、システムレベルのアクセスを許可させ、その結果、顧客の連絡先やスタッフの認証情報が盗まれ、2,300の店舗で在庫不足が発生しました。
  • ハロッズ(2025年5月): この高級小売店は、2週間以内にサイバー猛攻撃に直面した3番目の英国ブランドとなった。ハロッズは、データが漏えいする前に不正アクセス(Scattered Spiderとも関係があると思われる)を検知し、阻止した。
  • ディオール(2025年5月): この高級ファッションブランドは、2025年5月7日に発見されたデータ侵害を確認。外部からの不正アクセスにより、連絡先情報や購入履歴を含む顧客データにアクセスされた。財務情報は漏洩していない。ディオールはサイバーセキュリティの専門家を雇い、影響を受けた顧客と規制当局に必要な通知を行なっている。
  • MGMリゾーツ(2023年9月): 2023年にScattered SpiderはMGMリゾートのITヘルプデスクにビッシングコールをかけました。彼らはスタッフを騙して上級管理職の2FAを無効にさせ、ラスベガスのカジノ全体のネットワーク、ATM、スロットマシン、デジタルキーシステムを麻痺させるランサムウェアキャンペーンを放った。

a.fl_button { background-color:a.fl_button { background-color: #5177b6; border:a.fl_button { background-color: #5177b6; border: 1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

Specops パスワードポリシーで Active Directory パスワードを保護

Verizonのデータ漏洩調査レポートによると、漏洩の44.7%に盗まれた認証情報が関与しています。

準拠したパスワードポリシーでActive Directoryを簡単に保護し、40億件以上の漏洩パスワードをブロックしてセキュリティを強化し、サポートの手間を削減します!

無料でお試しください

なぜハッカーはサービスデスクを狙うのか?

簡単に言うと、技術的な侵入を行うよりも、人を操作する方が早くて簡単だからです。

サービスデスクチームは、問題を素早く解決し、人々を再び働かせるよう訓練されています。攻撃者は、パニックに陥った経営幹部や信頼できるベンダーになりすまし、親切心、権威への敬意、対立を嫌うといった社会規範を悪用しようとする。

共感、緊急性、信頼を武器に、スタッフを騙してプロセスを急がせたり、回避させたりする。いったん最初の足がかりを得ると、特権の昇格やランサムウェアの展開へと進むことができる。

ソーシャル・エンジニアリング攻撃の手口

  1. 偵察:無差別にサービスデスクを狙う攻撃者もいれば、優位に立つために公開情報源(LinkedInのプロフィール、企業のプレスリリース、組織図、ソーシャルメディア)を何時間もかけて探し回る攻撃者もいます。
  2. 口実を作る:本物の詳細情報(オフィスの場所、最近の会社の取り組みなど)を手に入れた攻撃者は、ロックアウトされ、パスワードやMFAのリセットが必要であるというシナリオを作成します。
  3. 電話をかける: おそらく意図的に忙しい時間帯に電話をかける。散在するスパイダーは英語を母国語とするため、英国や米国の企業で成功を収めていることで知られている。一部のハッカーは、組織内の実在の人物の声になりすますAIビッシングにさえ手を染めている。
  4. 緊急性と信頼の構築: これは、攻撃者がサービスデスクの担当者にプレッシャーをかけようとするものだ。会社の重要な顧客や上級役員を名指ししたり、エージェントが知っているプロジェクトを引き合いに出したりして、信頼を築こうとする。そして、なぜすぐにアクセスが必要なのか、ビジネスクリティカルな理由を偽ります。
  5. MFAを回避する: エージェントがMFAのプッシュ確認を要求すると、攻撃者はそれを受け取っていないと主張する。あるいは、必要な電話を紛失したとか壊れたとか言い訳をするかもしれない。そして、「管理者の承認」を提示し、緊急アクセスに関する会社のポリシーを引き合いに出して、MFAのリセットを要求する。エージェントは、エグゼクティブの仕事の遅れを恐れ、手助けをしたいと思い、承諾する。
  6. クレデンシャルのリセットとトークンの交換: サービスデスクのエージェントは手順に従い、既存のMFAデバイスを無効にし、一時的なものを設定する。攻撃者は直ちに新しいプッシュを受け取り、リアルタイムで承認し、ログインの成功を確認する。
  7. 最初の足がかり:有効な認証情報とアクティブなセッションにより、攻撃者は組織環境へのアクセス経路を確保します。

確認を強制するか、侵害を招くか

トレーニングやフィッシング・シミュレーションを実施することで、チームは常に鋭敏になり、手順のずれを発見することができます。また、エージェントがデフォルトで実行できることを制限することで、最小特権を強制することもできます(リスクの高いアクションには管理者のサインオフを要求する、チケットシステムをコアのIDストアからセグメント化する、すべてのステップをログに記録するなど)。

しかし、すべてのインタラクションでエージェントをサポートするには、検証を強制するツールをエージェントに与えることが最善の策です。

厳格なアイデンティティ・チェックがなければ、サービスデスクは攻撃者が人間の信頼を悪用するためのルートになります。検証を義務付けることで、最も説得力のある口実さえも阻止する重要な摩擦の層が生まれます。

Specops Secure Service Deskは、多要素検証、リアルタイムのリスクスコアリング、カスタマイズ可能なチャレンジフローを統合しているため、チームは自信を持って本人確認を実施し、ソーシャルエンジニアリングを入り口でブロックすることができます。

Une image contenant capture d’écran, dessin humoristiqueLe contenu généré par l’IA peut être incorrect.

パスワードリセット、権限昇格、リモートセッションの各リクエストにこれらのチェックを組み込むことで、人的攻撃の可能性を劇的に減らすことができます。セキュアサービスデスクがお客様の環境にどのように適合するかをご覧になりたいですか?

ライブデモをご予約ください。

Specops Software がスポンサーとなり、執筆しました。