フィッシング、ランサムウェア、そして現実世界の失敗から学ぶ教訓

小規模（従業員50～249名）、中規模（従業員250～999名）、大規模（従業員1,000～4,999名）、エンタープライズ（従業員5,000名以上） 小規模、中規模、大規模、エンタープライズ

特徴

高度な攻撃検出、高度な自動化、どこからでも復旧など

3グレイログ

「シャークタンク」スター「お金は返ってこない」

自分は絶対に詐欺に引っかからないと思っている？バーバラ・コーコランもそうだった。

2020年、「シャーク・タンク」に出演した投資家で不動産王のコーコラン氏は、経理担当者が通常の請求書と思われるメールを受け取ったことで、約40万ドルの損失を被りました。そのメールはコーコラン氏のアシスタントから送られたもので、物件の改修費用の支払いを承認する内容でした。

問題は？ 差出人の住所が1文字間違っていたこと。これは見落としやすい点です。会計担当者は送金依頼が正当なものだと思い込み、送金を承認しましたが、実際のアシスタントに連絡して不一致に気づいたことで、真実が明らかになりました。

「誰も気づかなかったのは、私のアシスタントのメールアドレスが一文字間違っていたことで、詐欺師が偽のメールアドレスを作ったということです」とコーコラン氏はピープル誌に語った。「詐欺師は姿を消し、よくある手口だと告げられ、返金はされないとのことです」

コーコラン氏の失態は教訓となるが、決して稀な事例ではない。巧妙に作成されたメール、微妙なスペルミス、緊急の依頼といった、同じ手口が、あらゆる規模の企業の従業員に対して日常的に使われている。場合によっては、その影響は一人の被害者にとどまらず、業界全体に波及し、混乱を招いている。

2021年のコロニアル・パイプライン攻撃を例に挙げましょう。米国最大の燃料パイプラインは、たった一つのパスワードが漏洩したことで攻撃者がネットワークにアクセスできてしまい、オフラインに追い込まれました。その結果、ランサムウェア攻撃が発生し、数百万ドルの損害が発生し、東海岸全域で燃料不足が発生しました。たった一つのフィッシング攻撃が成功しただけで、全国的な混乱を引き起こしたのです。

ワンクリックで完了

コロニアル・パイプラインの閉鎖やバーバラ・コーコラン氏の40万ドルの損失は、極端な例のように思えるかもしれません。しかし、実際には、あらゆる規模の攻撃は、多くの場合、同じ方法で始まります。それは、一人の従業員、一つの受信トレイ、そして一つの決断です。

サイバー犯罪者はこれを熟知しています。複雑なシステムを巧みに操る必要はなく、人間を出し抜くことができればそれで十分です。不正なリンクをたった一度クリックするだけで、数百万ドルものセキュリティソフトウェアを回避でき、従業員こそが企業データの真の門番となるのです。

従業員がうっかりして攻撃者に扉を開けてしまう最も一般的な方法は次のとおりです。

• フィッシングメール:正当なリクエストを装った悪意のあるリンクや添付ファイルをクリックします。
• 弱いパスワードまたは再利用されたパスワード:複数のアカウントで機能するマスター キーを攻撃者に提供します。
• 偶発的なデータ共有:機密情報を間違った人物またはシステムに送信すること。
• 更新を怠る:既知の脆弱性に対処するソフトウェア パッチを適用しない。

調査によると、侵入の大部分は人為的ミスによるもので、場合によっては95%にも上ります。攻撃者にとって、ファイアウォールを突破するよりも、一瞬の隙を突く方が簡単で低コストな場合が多いのです。

だからこそ、最強のセキュリティ戦略はテクノロジーにとどまりません。すべての従業員が組織を守る上での自分の役割を理解する、意識の高い文化を築くことが重要です。

「人は脅威アクターにとって最大の標的ですが、同時に最も強力な防御にもなり得ます」とアンダーヒル氏は説明した。「従業員が立ち止まり、疑問を持ち、疑わしい行動を報告することで、攻撃者の成功はより困難になります。」

リモートワークとハイブリッドワークのリスク

2020 年以降、リモートワークとハイブリッドワークがアメリカの職場環境を大きく変えました。

米国労働統計局によると、2024年第1四半期時点で、従業員の約23%が有給で在宅勤務をしています。多くの雇用主は、従業員にさらなる自由を与え、柔軟な勤務形態を恒久化しています。

しかし、この仕組みにより、サイバー犯罪者にはこれまで以上に広い攻撃対象領域が提供されることになった。

最も重大な弱点の一つは、家庭内ネットワークにあります。調査によると、家庭用Wi-Fiルーターの16台に1台は、デフォルトのパスワードのままアクセスできてしまうことが分かっており、犯罪者はこの脆弱性を積極的に探しています。一度侵入されると、個人のデバイス、企業のアカウント、さらには機密性の高い企業システムにまで侵入することが可能になります。

そして、それはほんの始まりに過ぎません。安全なオフィス環境以外で働くことは、多くのリスクをもたらします。

• 公共Wi-Fiの危険性。コーヒーショップや空港のネットワークは、簡単に傍受されてしまうことで知られています。仮想プライベートネットワーク（VPN）がなければ、あなたのオンラインアクティビティは近くにいる誰にでも見られる可能性があります。NordVPN、ExpressVPN、IPVanishなどのサービスは接続を暗号化するため、攻撃者による盗聴ははるかに困難になります。
• 共有デバイスとネットワーク。家族やスマートデバイスは予期せぬ脆弱性を生み出す可能性があります。セキュリティ対策が不十分なタブレットやIoTガジェットは、攻撃者の侵入口となる可能性があります。
• セキュリティ保護されていないコラボレーションツール。Slack、Teams、Google Driveはリモートワークに欠かせないツールですが、同時に格好の標的にもなっています。チャットで悪意のあるリンクが共有されると、複数の従業員が不正アクセスされる可能性があります。
• 放置された家庭用ルーター。ファームウェアのアップデートやデフォルトのパスワードの変更を怠る人が多く、ルーターは家庭内ネットワークへの侵入経路として最も手軽な手段の一つとなっています。
• プライベートと仕事の境界線が曖昧になっています。ショッピング、ストリーミング、そして機密性の高い仕事のデータに同じデバイスを使用すると、マルウェアや偶発的な情報漏洩のリスクが高まります。

リモートワークによって、オフィスと自宅の明確な境界線は消え去りました。リスクは異なるかもしれませんが、その危険性は同じです。オフィス外での些細な選択が、組織全体に波及する悪影響をもたらす可能性があるのです。

手遅れになる前に危険信号を見つける

フィリップ・マレー氏は長年サイバーセキュリティの分野で活躍し、リスクを熟知しています。そして、その見分け方を人々に指導してきました。しかし、2019年、彼はフィッシング詐欺に引っかかり、数百ポンド相当のAmazonギフト券を失ってしまいました。

マレーは新米パパになったばかりで、睡眠時間もほとんどない状態だった。ある日の午後、上司を装ったメールが届いた。クライアントのプロジェクトのために、こっそりギフトカードを購入してほしいという内容だった。少し奇妙に思えたが、あり得る話だった。彼はその依頼に疑問を抱くことなく、指示に従い、ギフトカードを購入し、コードを送信した。

翌朝、少し眠って頭が冴えた後、彼はそのメッセージが上司からのものではないことに気づいた。お金は消えていた。

マレーは後にLinkedInの投稿でこう認めている。「恥ずかしいです。人々がこのような事態に陥らないよう手助けするのが私の仕事なのに、私は完全に騙されてしまったのです。友人や家族の中で、こんなことに騙されるべきではないのは私です。」

サイバーセキュリティの専門家が騙される可能性があるとしたら、それは私たち一般人にとって何を意味するのでしょうか？フィッシングが巧妙なのは、技術的な欠陥ではなく、人間の感情（疲労、切迫感、恥ずかしさなど）を悪用しているからだということを証明しています。だからこそ、危険信号を見抜くことを学ぶことが非常に重要なのです。

従業員が注意すべき最も一般的な警告サインは次のとおりです。

• 誤った緊急感。「今すぐこれをしないと」というメールは、あなたの判断を遅らせるように作られています。
• 機密情報の要求。正当な同僚やベンダーが、メールでログイン認証情報や財務情報を要求することはありません。
• 送信者の不審な情報。攻撃者は、実際のアドレスと1文字だけ異なるアドレスをよく使用します。
• 文法やフォーマットが不十分。スペースの空き具合、スペルミス、ブランド表示の不備などが、その兆候です。
• 見慣れない添付ファイルやリンク。予期していなかった場合は、確認が完了するまでクリックしないでください。
• 馴染みのないチャネル。「マネージャー」が会社で承認されたツールではなく、突然テキストメッセージやWhatsAppを使い始めたら、注意が必要です。

また、危険信号は必ずしもテキストに限定されるわけではありません。

AI生成のディープフェイクの台頭により、攻撃者は同僚、幹部、ベンダーのなりすまし音声や動画を作成できるようになりました。上司の声とそっくりなボイスメールが届き、送金を促す様子を想像してみてください。この技術は新しいものですが、防御策は変わりません。行動を起こす前に、信頼できるチャネルを通じてリクエストを確認することです。

現実は単純です。攻撃者は、従業員が慌てすぎたり、信頼しすぎたり、あるいは注意散漫になってこれらの兆候に気づかないことを狙っています。たった一つの警告サインに気づくことが、悪質なメールを削除するか、ランサムウェア攻撃を仕掛けるかの違いを生む可能性があります。

最後の防衛線はあなたです

コーコランの簿記係。アマゾンのバウチャーを受け取ったマレー。コロニアル・パイプラインまで。これらの話はすべて、サイバー攻撃はコードから始まるのではなく、人から始まるということを証明している。

テクノロジーだけでは不十分です。ファイアウォール、ウイルス対策ソフトウェア、侵入検知システム、暗号化はいずれも重要な防御層ですが、集中力のない従業員が不正なリンクをクリックしたり、不正なリクエストを承認したりするのを防ぐことはできません。その責任は私たち全員にあります。

良いニュースは？従業員は無力ではないということです。クリックする前に少し間を置く、パスワードを更新する、不審なメッセージを報告する、といったことはすべて、企業を崩壊から守る「人間のファイアウォール」を強化します。一人の警戒心が、数百万ドル規模の災害を防ぐことができるのです。

従業員にとって重要なポイントは次のとおりです。

• 油断しないでください。疲労、注意散漫、焦りは攻撃者にとって最大の味方です。ペースを落としましょう。
• リクエストを確認してください。メール、テキストメッセージ、または通話内容に不審な点がある場合は、行動を起こす前に別の手段で確認してください。
• セキュリティツールを使いましょう。パスワードマネージャー、VPN、ウイルス対策ソフトウェアは誰もが使用すべきです。
• ソフトウェアを常に最新の状態に保ってください。パッチを当てることで、攻撃者が狙う侵入経路を遮断できます。
• すぐに報告してください。疑わしいものをクリックしたと思われる場合は、直ちにIT部門に報告してください。早期発見により、被害の拡大を防ぐことができます。

「テクノロジーは1日に何百万もの脅威をブロックできますが、従業員一人のミスが攻撃者を侵入させる原因となります」とアンダーヒル氏は述べた。「人間レベルの意識と警戒こそが、勝敗を分けるのです。」

次回、メールがおかしいと感じたら、その時の選択が、普通の仕事の一日と一面ニュースの違いになるかもしれないことを思い出してください。

編集者注: このコンテンツは元々、当社の姉妹出版物である eSecurity Planet に掲載されたものです。