フィッシング・リンクを従業員に踏ませないための５つのチップス

How To Prevent Your Employees Clicking On Phishing Links

2021/11/03 CyberSecurityIntelligence — フィッシングとは、信頼できる機関を装う詐欺師が、被害者を騙すサイバー攻撃の一種である。通常、フィッシャーは被害者の機密情報を入手し、マルウェアを展開する。フィッシャーは何十もの巧妙な手口を使うため、信頼できる送信者と詐欺師を見分けるのに苦労することがよくある。

従業員トレーニングは役に立たない

トレーニングは、最初に行うべき対策であり、また、非常に明白なフィッシング防止策かもしれない。フィッシング・リンクが何かを従業員に教え、それをクリックしないように指導することもできる。サイバー・セキュリティ・トレーニングを実施し、フィッシングの脅威を模倣することで、従業員のサイバー・セキュリティ意識を高めることができる。しかし、トレーニングは、実際には意図したとおりには機能しないことがよくある。

ある調査によると、従業員はセキュリティ・ポリシーに従いたいと思っていても、不正なリンクをクリックしてしまうという結果が出ている。つまり、従業員に対して、どのようなトレーニングを施しても、いずれはフィッシングの罠にかかってしまう。トレーニングに頼るべきかどうか、まだ迷っているのであれば、Webroot のエンドポイント・セキュリティの専門家による、以下の重要な調査結果を確認してほしい。

• 従業員の 79% が、フィッシング攻撃について認識しており、それを軽減する方法を知っていると回答している。
• そのうち 49％ は、仕事中に身元不明のリンクをクリックしている。
  
  この事実を考えると、自身のフィッシング攻撃を回避する能力を、過大評価している人々が多いと考えてよいだろう。つまり、管理者は、トレーニングだけに頼るべきではないということだ。その代わりに、より信頼性の高いフィッシング防止ソリューションを探さなければならない。

従業員が不正なリンクを踏まないようにするための５つのアドバイス

サイバーセキュリティ研修でフィッシング攻撃を減らせないのであれば、それに代わる対策として、攻撃者が自社にたどり着くのを防ぐべきだ。2019 Verizon Data Breach Report では、フィッシング攻撃の 94% が電子メールを介することが明らかになった。したがって、このような悪意のあるメールを除外することが前提となる。そのためのフィッシング防止策をチェックしてみよう。

１：クラウドベースの通信環境を整える

ほとんどのフィッシング脅威が、メールから来るのであれば、従業員をメールから隔離しよう。たとえば、こんな状況を想像してみよう。あなたは上司からメールを受け取った。その上司は、納品された商品の代金をサプライヤーに支払うよう求めており、すべての請求書が添付されていた。しかし、あなたは、上司のふりをした詐欺師にお金を送ってしまったことになる。

• このような事態を防ぐには、メッセージ／ファイル／リンクのやり取りを、プライベートなクラウドベースのコミュニケーション・サービスで行うべきだ。
• 企業内のコミュニケーションを保護し、多くの業務を効率化するために、多くの企業向けメール・ソリューションを選択できる。

２：セキュア・メール・ゲートウェイの導入

セキュア・メール・ゲートウェイは、悪意のあるメールがワークスペースに届くのを防ぐ。具体的には、電子メール／添付ファイル／リンクをスキャンして、マルウェアを検出する。このセキュリティの立ち上げにより、ウイルスを含むメールや、悪意のWeb サイトへのリダイレクトがブロックされる。これも、フィッシング攻撃を減らすための効率的な方法だ。結局のところ、受信トレイに詐欺メールが届かなければ、従業員は詐欺メールを開くことはないのだ。

３：社内環境の改善

社員は平均して１日あたり３時間ほど、ビジネス・メールを読んでいる。それは膨大な時間であるが、社内におけるメール送信のスケジュールを設定することで、その時間を短縮できる。そうすれば、社員が受信箱をチェックする頻度を減らすことが可能になり、メールを読む時間帯も定まってくる。しかし、最も重要なことは、予定外のメールを受信したときに、より注意を払うようになることだ。

４：ワークスペース内のセキュリティ衛生を向上させる

社員は何回パスワードを変更しているだろうか？ビジネス・アカウントに二要素認証 (2FA) を使用しているだろうか？Verizon Data Breach Report によると、セキュリティ侵害の 28% がログイン・データの盗難に起因している。したがって、その種の脆弱性を、社内から排除する必要がある。組織が 2FA を使用していれば、詐欺師がビジネスアカウントにアクセスすることが難しくなる。

５：チームのワークロードを管理する

過剰な作業負荷は、フィッシング攻撃を増加させるが、見落とされている要因かもしれない。2014年の行動調査では、過労状態の従業員が、フィッシング攻撃を受けやすいことが明らかになった。圧倒され、ストレスを感じ、疲れ切った従業員は、入ってくる脅威を認識することができないのだ。したがって、従業員にフィッシング・リンクをクリックさせないのであれば、従業員の仕事量を最適化する必要がある。チームのパフォーマンスを向上させるために、以下のヒントをチェックしてみよう。

• ワークフロー管理ツールを導入する。
• チームのパフォーマンスを評価し、実際の能力に応じた期限を設定する。
• 従業員の時間を奪う行為を減らす。

まとめ

フィッシング攻撃に対抗するには、多層的なアプローチが必要である。従業員がフィッシング・メールにさらされないようしに、クラウドベースのメール・ソリューションを利用し、スパム・フィルターを設定することなどが必要となる。ビジネス・アカウントの保護を強化し、チームのパフォーマンスを最適化することで、組織がフィッシング攻撃を受け難くなる。

従業員の 79% がフィッシング攻撃について認識していても、そのうち 49％ は仕事中に身元不明のリンクをクリックしているという、なかなか怖い調査結果から始まり、従業員トレーニングは役に立たないと断言してしまう記事です。でも、その後に続く５つのチップスは、どれも納得できるものであり、そうなるべきだろうと思ってしまいます。その中でも、社内におけるメール送信のスケジュールを設定して、つねにメールは ON ではないというのは、とてもユニークで面白い発想です。いろいろと考えさせてくれますね。このレポートの大元になっているはずの Webroot のドキュメントですが、NEW 2021 Webroot BrightCloud だと思います。