現在のデジタル時代、電子メールは日常生活に欠かせません。電子メールは広く普及した、しかも非常に便利な通信手段です。しかし、便利である一方、特に攻撃のエサに注意を払っていない場合には危険が伴います。
ここで言う電子メールを「エサ」にする攻撃とは、フィッシング詐欺です。フィッシング詐欺は、ハッカーにとっての見返りが非常に大きいことから、増加の一途をたどっています。実際、最大95%のハッキングは、フィッシング電子メールがきっかけです。フィッシングが読者、読者のチーム、読者のビジネスにとって問題であることは明らかです。他のあらゆる問題と同様に、フィッシングを理解し、解決策を探す最善の方法は、その出所を調査することです。
では、フィッシング詐欺の歴史を振り返り、このデジタルの脅威からどのような情報を収集して将来の対策に役立てることができるか検証してみましょう。
過去
電子メールが登場したころから、フィッシング詐欺師も存在しています。90年代後半の有名な「ナイジェリアの王子」詐欺から、現在利用されている複雑なスピアフィッシング技術(訳注:フィッシング詐欺の中で、特定のターゲットに対して重要なデータや情報を入手しようとする方法)まで、電子メールを介したフィッシングは、あらゆる組織にとって単独としては最も危険な脅威(英語版PDFファイル)です。その理由は、フィッシングによって企業データ、関連する財務情報、銀行の詳細情報、従業員のプライベート情報が漏えいする可能性があることです。電子メールは、日常業務を行うためにすべての組織が活用しているツールですが、利用者全員をリスクにさらす可能性もあるのです。
最近では、大小規模を問わずますます多くの組織がフィッシングの脅威に直面しています。著名な大企業だけでなく、重要情報を所有する中堅・中小企業もターゲットにされています。つい最近、米サンディエゴの小さな法律事務所の弁護士が、郵便局から送信されたように見えたフィッシングメールを何気なくクリックしてしまいました(英語サイト)。このクリックによってマルウェアがインストールされ、この事務所の銀行口座から中国の銀行に約30万ドルが送金されてしまいました。この話の教訓は、家族で営む店舗から中堅・中小企業、そして大規模なエンタープライズまで、フィッシングはあらゆる組織に影響を及ぼす可能性があるということです。
現在
現在は組織の大半が、フィッシングを通じてマルウェアが自社ネットワークに侵入した経験があります。意思決定者の3分の2は、昨年電子メールを通じてマルウェアが侵入したと報告しています(英語サイト)。さらに、次のことが明らかになっています。
・意思決定者の45%は、フィッシングが深刻または非常に深刻な懸念であると考えています。
・意思決定者の44%は、従業員がマルウェア攻撃につながるフィッシングリンクをクリックしてしまうのではないかと恐れています。
・意思決定者の39%は、フィッシング攻撃によって顧客データが侵害されてしまうのではないかと懸念しています。
・意思決定者の37%は、データ侵害が発生し、機密の内部情報が漏えいするのではないかと懸念しています。
つまり、ネットワーク侵入の方法としてフィッシングが利用されるケースが増加しているのです。しかし、侵入が発生する可能性を低減するために、あらゆる規模の組織が講じられる予防措置があります。
将来
1.リスクを評価する:
機密データはどこに保管されていますか?誰がアクセスできますか?これらの要素のインベントリを作成し、変更(新たに制定される規制など)によってどのような影響が発生するかを理解してください。これによって、ユーザーが最も影響を受けやすいフィッシング技法も把握できるようになります。こうしたインテリジェンスを活用して、人、プロセス、テクノロジを駆使した戦略を練ります。
2.ユーザー教育:
従業員はフィッシングとマルウェアに対する防御の最後の砦ですが、組織の78%はフィッシングの脅威を検知し、対処する方法について従業員に適切なトレーニングを行っていません(英語版PDFファイル)。社内へのトレーニングの実施によって、セキュリティシステムの総合的な効率性を高めることができます。手始めにマカフィーのフィッシングクイズ(英語サイト)にチャレンジしてください。マカフィーでは、トレーニング計画の作成に役立つように、クイズの総合評価と洞察(最も影響を受けやすい組織、ユーザーが最も影響を受ける技法など)を提供します。この無償の評価をご希望の方は、Intel SecurityパートナーまたはIntel Security代理店にご連絡ください。代理店がわからない場合には、phishingquiz@mcafee.comに電子メールでご相談ください。
3.適切なセキュリティの選択:
最後になりますが、特に電子メールインフラストラクチャをOffice 365やHybrid Exchangeなどのクラウドアプリケーションに移行する際には、質の高いセキュリティソリューションを利用してフィッシング詐欺から組織を継続的に保護してください。
現在も将来もフィッシング詐欺から組織を保護する方法の詳細については、ここ(英語サイト)からマカフィーのArt of Defense Webセミナーをチェックしてください。
マカフィーのフィッシングクイズ(英語版PDFファイル)結果も見直し、電子メールのリンクをクリックする前に、クリックして良いかどうかを必ず考えるようにしてください。
※本ページの内容はMcAfee Blog の抄訳です。
原文: The Past, Present, and Future of Phishing and Malware
著者:David Bull(Senior Product Marketing Manager)