キヤノンMJ/サイバーセキュリティ情報局
フィッシングに対する従業員の研修が必要だ
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「従業員へのフィッシング対策研修とは」を再編集したものです。
「セキュリティ・バイ・デザイン(製品の企画・設計の段階からセキュリティ対策を盛り込む考え方)」は、サイバーセキュリティの専門家にとっては理想的なものである。これは、製品が導入・運用後に不正侵入されるリスクを軽減するよう、あらかじめ安全性を担保可能な設計を施す、というシンプルなコンセプトだ。近年、この概念は組織のあらゆる部分に拡張されてきた。DevOpsで自動化されたプロセスから、従業員の日常的な作業に至るまでが対象となっている。セキュリティ・ファーストの文化を醸成できれば、サイバー攻撃の脅威に対する耐性を高められると同時に、インシデントが発生した場合でも、その被害を最小化できるだろう。
もちろん、技術的な対策は、セキュリティ文化を深く根付かせるのに重要なツールとなる。しかし、企業のセキュリティを脅かす最大の要因となるフィッシング攻撃のリスク軽減においては、フィッシング対策に関する従業員研修は極めて重要な役割を果たし、一般的なサイバーセキュリティ啓蒙のための研修プログラムの中核とする必要があるだろう。
なぜフィッシングが大きな脅威となるのか
ESET社の脅威レポート2022 T1によると、2021年9月~12月に比較して、2022年1月~4月におけるメールの脅威は37%増加した。ロシア・ウクライナ戦争に対する関心を悪用した詐欺も活発化しており、ブロックされたフィッシング攻撃におけるURLの数についても、同程度の割合で増加している。
フィッシング詐欺は、攻撃者にとって最も有効な手法のひとつであり続けている。マルウェア感染やアカウント情報の詐取、企業における不正送金の主な要因となっている。なぜ、これほどまでの被害が生まれているのか? 正規の送り主になりすます詐欺師の巧妙な手口や、深く考えさせないよう受信者を煽り急かせるソーシャルエンジニアリング手法の存在が背景にある。
フィッシングの手口として以下のようなものがある。
・送り主のID、ドメイン、電話番号のなりすまし。タイポスクワッティング(URLの入力ミスを悪用して不正なウェブサイトへ誘導する手法)や、英数字以外の文字を使った国際化ドメイン名(IDNs)を悪用する場合もある
・送り主のメールアカウントを乗っ取る。この場合、フィッシング攻撃と特定するのは非常に難しい
・フィッシングの信ぴょう性を高めるために、ソーシャルメディアを使って情報収集する
・正規のロゴ、ヘッダー、フッターを使用する
・標的を急かして、すぐに行動を起こさせるよう、緊迫感や刺激を与える
・実際のリンク先を隠すために短縮URLに変換する
・本物のように見えるログイン画面とウェブサイトを作成する
-フィッシングメールの例-
カードユーザー様、
普段とは異なる地域でのオンラインショッピングに使用されたクレジットカード決済が停止されました。位置情報が確認できなかったため、取引を停止し、セキュリティを確保するよう、カードとオンラインアカウントを凍結しました。
この取引内容を閲覧し、アカウントのセキュリティロックを解除するには、直近のオンライン取引履歴を確認してください。
直近の取引内容を確認する
最高の体験を提供するための方針に従った措置となります。ご不便をおかけします。
ご利用、ありがとうございます。
アメリカンエクスプレス・カスタマーケア
Verizon社が作成した最新のDBIR(データ侵害調査報告書)レポートでは、アカウント情報の盗難・フィッシング・脆弱性の悪用・ボットネットの4つが、昨年発生したセキュリティ事件の大半を占めていた。そのうち最初の2つは、ヒューマンエラーに関するものだ。報告書に記載された被害全体のうち、4分の1(25%)はソーシャルエンジニアリングによるものであった。ヒューマンエラーと権限の悪用を合わせると、人的要因が被害全体の82%を占めている。このリスクの高い要因を、最も強固に保護することがCISO(Chief Information Security Officer)にとって喫緊の課題となっている。
フィッシングがもたらすもの
フィッシング攻撃は、この2年でより大きな脅威となった。ソフトウェアの修正パッチが適用されておらず、十分に保護されていないデバイスを使用し、注意散漫な在宅勤務者は、攻撃者にとって格好の標的となっている。2020年4月にGoogle社が発表した内容によると、ブロックされた悪意のあるメールやフィッシングメールは全世界で1日1800万件に上るという。
こうした勤務者の多くがオフィスに戻ってくるため、SMS(スミッシング)や音声(ビッシング)による攻撃にさらされるリスクもある。多忙なユーザーほど、クリックすべきでないリンクをクリックしたり、開くべきでない添付ファイルを開いてしまう可能性は高いだろう。さらに、これらの攻撃は次のような被害につながる恐れがある。
・ランサムウェアのダウンロード
・バンキング型トロイの木馬
・データの盗難・漏えい
・クリプトジャッキング・マルウェア(ユーザーの許可なく暗号資産の採掘を行なう)
・ボットネットの展開
・追跡型攻撃に使用するためのアカウント乗っ取り
・偽の請求・支払い依頼による金銭の詐取につながるビジネスメール詐欺(BEC)
金銭的な被害と風評被害が事業活動へ与える影響は甚大だ。今や情報漏えいに要する平均的なコストは420万ドル(5億7300万円相当)に達し、過去最高を記録している。さらに、ランサムウェアの被害では、その数倍ものコストに達するケースもある。
どのような研修が効果的か
最近のグローバルな調査によると、今後1年間に企業が予算を投じる優先的な取り組みとして、従業員へのセキュリティ研修と啓蒙が挙げられた。では、実際に研修を行なうにあたり、どのような方法が最も高い投資対効果をもたらしてくれるのだろうか? 以下のような研修コースやツールについて検討してみてほしい。
・フィッシングのチャンネルを包括的に網羅している(メール、電話、ソーシャルメディアなど)
・不安を煽るメッセージよりも、前向きに取り組める魅力的な講義
・進化するフィッシング攻撃を反映し、IT担当者によって調整された、実際の仕事環境に即したシミュレーション演習
・15分以下を超えない短尺の講義を、年間通じて継続的に提供する
・派遣社員、業務委託、上級役員を含めた、すべての従業員を対象とする。企業のアカウントを持ち、ネットワークにアクセスする人は、誰でもフィッシングの標的となり得る
・個人に対する詳細なフィードバックを提供できるよう分析を行ない、研修が進むに従い改善できるようにする
・特定の役割に合わせたパーソナライズされた研修。例えば、経理・財務担当者は、ビジネスメール詐欺(BEC)への対処方法について特別な訓練を受ける必要があるかもしれない
・ゲーミフィケーション、ワークショップ、クイズの導入。単にIT専門家から「教え」を乞うのではなく、同僚と競いながら研修を進められるよう促す。人気のあるツールの中には、ゲーミフィケーションの手法を利用して、研修をよりわかりやすく、より使いやすく魅力的なものにしている
・自作のフィッシング演習。英国サイバーセキュリティセンター(NCSC)によると、ユーザー自身にフィッシングメールを作らせて、こうした手法について理解を深める機会を設けている企業もある
報告を忘れないこと
組織に適した研修プログラムを見つけることは、従業員をフィッシング攻撃に対する強力なディフェンスチームに変えるための重要なステップとなる。同時に、フィッシング攻撃が報告されるようなオープンな文化を醸成することにも注意を払うべきだ。企業は簡単で明快な報告プロセスを築き、どのような報告も調査の対象となる点を従業員に保証する必要がある。従業員は守られている感覚を抱くことができるし、IT部門だけではなく、人事部門や管理職も含めた組織全体を巻き込むためにも重要なのだ。
最終的にフィッシング研修は、ソーシャルエンジニアリングによる脅威に対処するための多層的な防御の一部に過ぎない。どれほど訓練された従業員でも、巧妙な詐欺には騙されることがある。そのため、技術的な対策も欠かせないのだ。多要素認証、定期的に検証されたインシデント対応計画、DMARCのような、なりすまし防止技術の利用についても検討してほしい。
[引用・出典元]
Phishing awareness training: Help your employees avoid the hook by Phil Muncaster 21 Jun 2022 - 11:30 AM
https://www.welivesecurity.com/2022/06/21/phishing-awareness-training-help-employees-avoid-hook/