TOPセキュリティ > フィッシングとフィッシングキットの基本(後)

セキュリティ

フィッシングとフィッシングキットの基本(後)

2021/05/06

Steve Ragan CSO

 この時点で、Aさんは既にフィッシングの餌食になっている。しかし、人事部門の一員として、求人情報サイトにアクセスするのは日常茶飯事なので、ずっと後まで問題に気づかないかもしれない。セキュリティ意識向上トレーニングでは、外部企業のサービスやサプライチェーン攻撃をカバーしていない場合があり、このような手口の短期的な成功率は非常に高い。特に、標的となった人がパスワードを使い回している場合には問題だ。

 標的を絞らないフィッシング攻撃もある。攻撃側にとっては手間が少なく、それでいて効果が高い。例えば、荷物の誤送についての連絡や、メールの配信で問題が生じたという通知を装ったメールを、1日に何千や何万という人々に宛てて無差別に送り、そのうちのコンマ数パーセントといった人々が被害に遭う。

 こうした攻撃をしぶとく続けていれば、被害者は月に何千人も生まれる。パスワードを使い回している人は依然多いので、膨大な数のSNSアカウントやメールアカウントに危険が及ぶ可能性がある。さらに、その人からのメールを装って、知り合いに攻撃が及べば、被害者はますます増える。

フィッシングの自衛策

 フィッシングの餌食にならないために重要なのは、すべてに疑いの目を向けること、2要素認証を可能な限り使うことだ。機密データを至急送るよう命じるメールが上司から届いたら、その上司に直接連絡を取って確認する。求人情報サイトから気になるメールが届いたら、メールに書かれたリンクをクリックするのではなく、本物のサイトを自分で直接開く。不安を誘うメールが銀行から届いたら、最寄りの支店に電話して、係の人と直接話す。

 すべてを疑ってかかるのは、なんだか薄情で、かえって信頼を失いそうに思えるかもしれない。だが、セキュリティは誰もが考えるべき問題であり、確認を求めるのはよい習慣だ。ビジネスの世界では、特に機密性の高い情報や金銭が絡む問題に関しては、確認は一種の付加価値と捉えることができる。自らの責任を真剣に考えている証拠だ。

 ただし、送信元に確認を取る時に、メールを使ってはいけない。電話をかけるか、本人に直接会って確認しよう。ビジネスに関する問題では、この点は特に重要だ。メールで確認したら、何も問題ないという返信が犯人から送られて来るだけかもしれない。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ