組織の安全を守るためには適切なサイバーセキュリティ研修が不可欠ですが、ユーザーは様々な種類のフィッシング攻撃の試みについて混乱し、潜在的なデータ漏洩につながる可能性があります。カスペルスキーは、セキュリティ意識向上プラットフォームとフィッシングシミュレーターのデータから、フィッシング攻撃の試みに関してユーザーが最も理解しにくいメールを特定しました。
ほぼすべて (91%) のサイバー攻撃はフィッシング メールの試みから始まるため、組織とその従業員が侵害が発生する前に潜在的な侵害を見つけて排除できることが重要です。
「フィッシングシミュレーションは、従業員のサイバーレジリエンスを追跡し、サイバーセキュリティトレーニングの有効性を評価する最も簡単な方法の一つです」と、カスペルスキーのセキュリティ意識向上事業開発責任者であるエレナ・モルチャノバ氏は述べています。「しかし、この評価を真に効果的なものにするためには、考慮すべき重要な側面がいくつかあります。」
従業員にとって最も紛らわしいフィッシング手法
カスペルスキー社によると、従業員の16%から18%は、表面上は配信エラーや技術的なエラーのように見える、攻撃者から送信されたメールテンプレートをクリックするそうです。これは、サイバー犯罪者がユーザーのメールに関する認識不足を悪用し、機密情報にアクセスする手段となるのです。同社によると、フィッシングシミュレーターで最もクリックされた5つのメールは以下のとおりです。
- 件名: 配達失敗 (18.5%)
- 件名: メールサーバーの過負荷によりメールが配信されない (18%)
- 対象:オンライン従業員調査(18%)
- 件名: リマインダー: 全社的な新しい服装規定 (17.5%)
- 件名:全従業員へのお知らせ:新社屋避難計画(16%)
こうしたケースのほとんどでは、従業員はこれらの件名を表面的にしか読み飛ばしませんでした。それは、メールが会社の人事部や Google などの信頼できる情報源から送信されたように見えるためです。しかし、これらのメールは、正当なメールであるかのように見せかけるために綿密に作成されたメール テンプレートでした。
「サイバー犯罪者が用いる手法は常に変化しているため、シミュレーションは一般的なサイバー犯罪のシナリオに加え、最新のソーシャルエンジニアリングのトレンドも反映させる必要があります」とモルチャノバ氏は述べた。「シミュレーション攻撃を定期的に実施し、適切な訓練を補完することが重要です。そうすることで、ユーザーは標的型攻撃やいわゆるスピアフィッシングに騙されないよう、強力な警戒スキルを身に付けることができます。」
カスペルスキーによれば、クリック数が多かったその他のフィッシングの件名は、予約サービスからの予約確認(11%)、注文の確定に関する通知(11%)、IKEAのコンテストの告知(10%)でした。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
被害者にならないための方法
カスペルスキーは、フィッシングメールの一般的な兆候(目を引く件名、誤字脱字や文法エラー、疑わしいリンク、一貫性のない送信元アドレスなど)を従業員に周知徹底し、可能な限りメールのベストプラクティスを徹底するよう組織に推奨しています。さらに、ユーザーはゼロトラストセキュリティの原則を十分に理解し、正当なものであることが確認されるまで、いかなるコミュニケーションも鵜呑みにすべきではありません。ユーザーがこれを行う方法の一つとして、メールの送信元アドレスが本物であることを確認し、送信されたファイルが実行可能形式かどうかを常に確認することが挙げられます。
サイバーセキュリティ企業は、従業員がフィッシングの疑いのあるメールを各自のIT部門に報告すること、そして組織が従業員に基本的なサイバーセキュリティの知識を提供することを推奨しています。最後に、誤クリックに備えて、すべてのデバイスに適切なウイルス対策ソフトウェアを導入することをお勧めします。スパム対策機能、疑わしい行動の追跡機能、ランサムウェア攻撃に備えたファイルのバックアップコピー作成機能を備えた予防ソフトウェアを選択することにより、企業は誤クリックの場合でも機密データの安全性を確保できます。
