夏が近づき、皆さんも休暇中ですね。受信トレイに溜まっている不在通知(OOO)の数をちょっと見てみましょう。
組織は従業員の 75% を配置して通常通り業務を遂行できるように調整する必要がありますが、フィッシング攻撃を受けやすくなっています。
ハッカーと組織の間で絶えず進化を続ける戦いの中で、毎日34億件ものフィッシング攻撃が降り注いでいます。攻撃はどれも前回よりも巧妙で、欺瞞の技術は急速に進化しています。夏休みが増えるにつれ、不在通知(OOO)の返信も増加し、夏はハッカーにとってクリスマスシーズンと化しています。なぜなら、OOOの返信はハッカーたちに標的型フィッシング攻撃を仕掛けるための情報を提供するからです。
従業員は休暇中もメールを見逃さないように、常に注意を払いたいと思っていますが、不在通知の返信には、日付、転送先、代替メールアドレス、電話番号、役職、さらには休暇中の場所の詳細など、メールボックスの所有者に関する情報が意図せず提供されてしまうことがあります。こうした情報は「ハッカー天国」です。高度でパーソナライズされたフィッシング攻撃を仕掛けるための情報が山ほどあり、休暇から戻った従業員を襲撃する可能性があります。
参照:サイバー犯罪者のフィッシングキットにより、認証情報の盗難がかつてないほど容易化(TechRepublic)
たとえば、フィッシング攻撃は次のようになります。
こんにちは、ジョー。
休暇から戻ってきてくれて嬉しいです。楽しんでいただけたでしょうか。
セキュリティ情報を更新する必要があることをお知らせします。
プロセスを完了するにはここをクリックしてください。
SOCチーム
上記の例は、数千件のうちのほんの一例に過ぎませんが、フィッシング攻撃に関する訓練をしばらく受けていない従業員が、パーソナライズされたメールによって、深刻なデータ漏洩につながるリンクをクリックさせられてしまう可能性を示しています。現在、攻撃の平均コストは2015年の380万ドルから1480万ドルに上昇しており、特に夏の時期は、組織はセキュリティ意識を高めることが推奨されます。
夏のための3つの予防策
以下のガイドラインは、セキュリティ意識向上プログラムが既に実施されていることを前提としています。従業員がフィッシング攻撃を検知するためのトレーニングを毎月実施していれば、休暇から戻って受信トレイを確認した際に、その効果が実証されるでしょう。
OOO通知に何を書くべきか、何を書かざるべきかについてのガイドラインを従業員に提供する
OOO の返信で共有される情報は、個人を狙ったフィッシング攻撃の可能性を高める可能性があります。そのため、OOO の返信内容に関するポリシーとガイドラインを作成してください。
各組織はサイバー衛生に関して独自のポリシーを定めていますが、不在通知(OOO)の返信には、個人用の転送メールアドレス、電話番号、氏名などを含めないことが推奨されます。転送メールアドレスを使用する必要がある場合は、すぐに無効化できる専用のメールボックスアドレスの使用を検討してください。不在通知の理由や出張先は記載しないでください。簡潔で安全な内容にしてください。
従業員に企業デバイスセキュリティに関する夏季ガイドラインを提供する
従業員は、特に長期休暇で海外に出張する場合、ノートパソコンやその他の会社所有のデバイスを持ち出すことがあります。ノートパソコンは盗難に遭ったり、カフェに置き忘れられたりする可能性があり、たとえそのようなリスクがなくても、セキュリティ対策が不十分な職場環境では、従業員が通常よりも保護されていない公衆Wi-Fiネットワークに晒され、マルウェアに感染する可能性が高くなります。
参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)
出張の直前に、ノートパソコンのセキュリティ、公衆 Wi-Fi の使用、公衆 Wi-Fi を使用してアクセスできるシステム、個人用ではないデバイスでメールを確認する方法に関するポリシーを従業員に提供することをお勧めします。
フィッシング対策ソフトウェアをインストールする
従業員のフィッシング検知の負担を軽減するには、フィッシング対策ソフトウェアが役立ちます。このソフトウェアは、メール、ウェブサイト、その他インターネット経由でデータにアクセスする手段の内容を検査し、脅威をユーザーに警告します。このセーフティネットは、フィッシングメールの疑いがあるメールがユーザーの受信トレイに届く前にブロックすることもできます。
フィッシングシミュレーションを毎月実行することが重要な理由
フィッシング シミュレーションを少なくとも月に 1 回継続的に実行すると、適切なサイバー習慣を学習して維持する上で非常に貴重な実践的な経験が得られます。
フィッシングシミュレーション、特にパーソナライズされたシミュレーションは、従業員にフィッシング攻撃への対処方法を実際の演習を通して教え、定着率を高めます。このような意識向上トレーニングプログラムは、従業員の職務、部署、または勤務地に基づいて、定期的に、かつ頻繁に実施し、最も高い頻度で実施することで、最も効果的です。
休暇シーズン前に従業員をトレーニングする組織は、その知識が夏の間中保持されることを確信できます。
ハッカーに直面する際、彼らが日々進化していることを忘れてはなりません。組織の安全を守る唯一の方法は、従業員への継続的なトレーニングです。
オマー・タランはCybeReadyの共同創業者兼CTOです。共同創業者として、オマーは同社の専属テクノロジストを務めています。CybeReadyに対する彼のビジョンは、学習におけるベストプラクティスとイノベーションを融合させ、様々なエンタープライズ顧客に役立つ製品ロードマップを構築する原動力となっています。彼はアイデアを迅速かつ正確に実現することで知られています。オマーの幅広い技術力に匹敵する、言葉遊びの才能も持ち合わせています。
