2019/06/19

フィッシング攻撃から従業員を保護するには

2019 年 6 月 19 日 編集部記事

ベライゾンの 2019 年版データ漏洩/侵害調査報告書によると、サイバー攻撃の 3 分の 1 にフィッシングが使われています。従業員教育とフィッシング防止ソリューションが基本的なフィッシングの試行を阻止する有効な手段であることがわかっていますが、攻撃者側でも、フィッシングメールを高度化し、巧妙化してそれに対抗しようとしています。たとえば、相手のソーシャルメディアへの投稿に基づく標的型スピアフィッシングメッセージ、テキストメッセージによるフィッシング、セクストーション、正規の Web サイトに似せた偽のログインページの作成などがあります。ユーザは常にセキュリティの最大の弱点であるため、組織が従業員を教育し、フィッシング攻撃を特定する方法を周知することがこれまで以上に重要になっています。

ウォッチガードのシニアセキュリティリサーチャである Marc Laliberte が先日、フィッシング教育に関する記事を Help Net Security に寄稿し、組織全体のセキュリティ対策が極めて重要であり、ベースラインを確立する、テキストメッセージのフィッシングを対策に盛り込む、DNS フィルタリングなどの技術的なフィッシング制御を導入するなどのベストプラクティスを整備することの重要性を解説しました。この記事の一部を抜粋して以下にご紹介します。

「フィッシング対策トレーニングに、最新のフィッシングの配信方法、つまりテキストメッセージを含める必要があります。テキストメッセージによるフィッシングは、ユーザの銀行口座を標的にする傾向がありますが、会社の組織構造を知っている攻撃者が CFO を装い、財務担当者に対して「緊急」のテキストメッセージを送信するのを阻止する手立てはありません。

2019 年版ベライゾンのデータ漏洩/侵害調査報告書は、テキストメッセージのフィッシングの方が電子メールより有効である可能性があることを示す、いくつかの理由を指摘しています。まず初めに、携帯電話を利用しているユーザは、歩いたり話したりするなどの他の事に気を取られてしまう傾向があり、メッセージが正当なものではないことを示す手掛かりを見逃してしまう可能性があります。さらには、モバイルアプリはデスクトップアプリより機能が限定されていて、SSL 証明書などのリンクの有効性を検証する要素が省略されていたり、表示されなかったりすることがあります。最近は、フィッシングのトレーニングを提供する多くの会社が、テキストベースのフィッシング対策サービスも提供するようになっており、これらの見つけにくい危険信号に気付くための方法をユーザに周知する手段として有効です。」

記事全文をお読みいただき、Marc によるフィッシング防止に関する 4 つのヒントすべてをご確認ください。モバイルフィッシングの対策と MFA トークンを狙う新しいフィッシング攻撃については、Secplicity を参照してください。ウォッチガードによるフィッシング攻撃の防止の詳細については、DNSWatch セキュリティサービスをご覧ください。