TOPセキュリティ > なぜ騙されてしまうのか、巧妙化するフィッシング(下)

セキュリティ

なぜ騙されてしまうのか、巧妙化するフィッシング(下)

2019/12/20

Josh Fruhlinger CSO

 フィッシングとは、虚偽メールを使ったサイバー攻撃の手法である。銀行や勤務先などからの連絡を装って、受信者が受け入れそうな偽のメールを送りつけ、リンクをクリックさせたり、添付ファイルを開かせたりする。

前回から続く)

フィッシングの被害を防ぐには

Credit: KnowBe4

 フィッシングメールを見抜く力を高めるには、実際の攻撃で使われたメールの例から学ぶのが一番だ。例えば、米リーハイ大学のサイトには、学生や職員に届いたフィッシングメールを取りまとめて紹介しているページがある。

 フィッシングの餌食にならないためには、次のような対策や心構えも重要だ。

  • メールのリンクをクリックしたり、個人情報を入力したりする前に、URLのスペルを必ず確認する。
  • URLのリダイレクトによって、よく似たデザインの別サイトにいつの間にか飛ばされていないか気をつける。
  • 知っているアドレスから届いたメールに不審な点がある場合、そのアドレス宛てのメールを新規作成して、先方に確認する。届いたメールへの返信ボタンから始めるのは避ける。
  • 住所、電話番号、誕生日、休暇予定などの個人情報をソーシャルメディアで公にするのは避ける。

 企業のITセキュリティ担当部門に所属しているなら、次のような策も考えられる。

  • 受信メールの処理を「サンドボックス化」し、ユーザーがクリックするリンクの安全性をチェックする。
  • Webトラフィックのインスペクションや分析を行う。
  • ペネトレーションテストを実施して弱点を見つけ、テスト結果を社員教育に生かす。
  • よい行いを奨励する。例えば、社員の誰かがフィッシングメールを見つけた時に、「今日の獲物」のような形で紹介する。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ