2020/03/13

ソーシャルエンジニアリングテストの重要性

2020 年 3 月 13 日 Madison Slater 著

ネットワークセキュリティを向上させる上で悩みの種の 1 つは、何から手を付けたらよいかわからない、ということでしょう。ニュースでは不正やデータ漏洩の事件が絶え間なく報道され、管理者として何を最初に行えばよいのか、皆目見当がつかないように思われます。数年前には有効だったウイルス対策の手法も、膨大な量の脅威を前にして今では役には立たず、攻撃者が作成している高度なメッセージに対しては、スパムフィルターの検出効果は限られています。

私は JSCM Group 総責任者の Madison Slater です。JSCM Group は、ノースカロライナ州を拠点として、ネットワークとサイバーセキュリティ対策に取り組んでいます組織。20 年以上もこの業界に携わる中で、考えうるほとんど全ての悪意あるアクティビティを見てきました。ランサムウェアからデータ漏洩まで、数え切れないほどの組織と共に、可能な限りのセキュリティの見直しと修正に取り組んできました。ファイヤウォールを設置したり、より強力な規制をワイヤレスネットワーク認証に設定したり、VLAN を使ったネットワークを再設計し、ポリシーに則って適切なセグメント化を行ったりしてきました。このようにネットワーク側から数々の対策を行ってきた我々ですが、実を言うとその全てを凌駕する、ある 1 つの脅威があります。それは、ユーザです。

セキュリティ基準の設定とよりよい設備の導入はスタート地点に過ぎず、どのような組織においても最大の脅威は従業員が作り出しています。1 人のユーザのたった 1 回のクリックがランサムウェアを呼び込み、ネットワーク全体が損なわれてしまうのです。JSCM Group が教育に何年も力を入れてきたのはそのためです。ネットワークの侵害要因のうち最大の 1 つが、ソーシャルエンジニアリングです。ユーザに単純なリンクをクリックさせるだけで、攻撃者は悪意のあるファイルをユーザのコンピュータに送信したり、認証情報を盗みだしたりすることができます。そしてユーザが全く気付かないうちに、すでに取り返しのつかないことになっているのです。

私は長年さまざまな組織に対して数多くのフィッシングテストを行ってきました。学校のシステムから医療機関、MSP に至るまで、ユーザは何に注目したらいいかがわからないために、テストに失敗してきています。我々がテストを行った、ある MSP では、83% のユーザにリンクをクリックさせることに成功しました。この組織はセキュリティに注力する組織のはずだったのですが、自社の従業員のセキュリティには注力できていなかったようです。

このような脅威に歯止めをかけるには、従業員をテストすることが一番効果的です。フィッシングテストを行い、どれだけのユーザがテストに失敗するか、見てみましょう。ユーザがいかに容易に罠にはまってしまうかを知った上で、はじめて対策を講じることができます。そしてテストを行った後は、トレーニングを行いましょう。何に注目すればいいかを教え、質問もしてもらいます。不審なメールを IT 部門に転送する方法を用意し、脅威が深刻であることを従業員に知らせましょう。そしてもう一度テストを行います。また、テストは定期的に行うべきです。手法を変え、毎回のように失敗してしまうユーザを必ずチェックするようにしましょう。従業員には責任を持たせるべきで、そのためには、問題の発見が苦手な個人に対する対処のプロセスも確立しておきましょう。

何年も前に、我々は医療機関に対してフィッシングテストを行いました。結果、およそ 50% のユーザがドメインの認証情報を誤って提供してしまいました。その後組織の IT 部門にトレーニングを行った翌年以降は、従業員に対して情報を共有するため懸命な努力をしていました。その次の年にテストを行ったところ、失敗率は 25% まで下がり、続くテストでもその数字は下がり続けました。テストとトレーニングにはたしかに効果がありますが、それが有効なのは組織が結果をだすために力を尽くした場合に限ります。管理者がセキュリティに力を入れれば、ユーザもそれに従うのです。