Skip to Content
暗いオフィスで自分のコンピューターに座っている女性
Article

フィッシング攻撃を避ける訓練をしていますか?

2020年10月21日 / 5 min read

この記事は5分で読めます。COVID-19によって、組織に急速にオンライン化を拡大させる中、悪意のあるサイバー詐欺師がネット上で無防備なスタッフを罠にかけようとしています。簡単に攻撃されないようにサイバーセキュリティ意識向上のためのトレーニングと計画を実施し、セキュリティ戦略を強化しましょう。どのように始めるかを説明します。 

会社のヘルプデスクからのメールが全スタッフに送信され、パスワードを更新するためのリンクをクリックするよう指示されます。実際そのメールは会社のヘルプデスクからのものではなく、サイバー犯罪者からのものです。訓練を受けていないスタッフは悪意あるリンクをクリックしてしまいます。次の瞬間、組織のファイルがロックされ、支払いをしなければ機密データが公開される、というメモがあることに気づきます。これはランサムウェア攻撃です。フィッシングメールを特定して回避するためのトレーニングをしていなければ、組織は大きなリスクにさらされます。

フィッシンググラフ 

犯罪につながることが多いのは、「必要性」「機会」「知識」の3つです。COVID-19は大きな変化をもたらしました。世界中の経済は、何百万人もの人が仕事を失ったままで荒廃しています。その結果、経済的な圧力が「必要性」を生み出しています。また、パンデミックによって、人々の仕事場は公共の場から自宅へと変化し、テクノロジーの使用が劇的に増加しました。これにより、オンラインで活動を行う犯罪者に「機会」が生まれました。3つ目の要素である「知識」は容易な部分です。Googleにアクセスして、動機があれば、誰でも知識を取得できます。サイバー詐欺師に必要なのは標的であり、それはあなた自身、あなたの会社のスタッフ、そしてあなたの会社かもしれません。 

COVID-19時代のフィッシング詐欺戦略

COVID-19は、サイバー攻撃の「機会」を提供しています。最近の詐欺には共通の傾向があります。しばしば、詐欺師は、予測しないときに、権威ある団体から来ているように見せかけ、「問題」がすぐに解決することを示唆し、リンクをクリックしたり、個人情報を提供するように、といった行動を取るように求めてきます。フィッシング攻撃は次のような形式で行われます。 

この手の詐欺は最近多くなってきており、流行り始めた頃から、皆さんは少なくとも1回は経験している可能性が高いです。 

フィッシングが蔓延しているにもかかわらず、その認知度は驚くほど低いものです。最近の調査では、米国の労働者の49%が「フィッシング」という言葉を知っていると回答しました。また別の調査では、職場でサイバーセキュリティのトレーニングを受けている労働者は31%しかいないと報告されています。これらの統計を考えると、フィッシング詐欺の認知度が低いことが理解できます。

フィッシンググラフ

サイバーセキュリティ意識の訓練をしないと起こるリスク 

フィッシングは「数の勝負」です。ハッカーはターゲットに向けて大量のテキストやメールなどを発信しており、ほんの数人が罠にかかればいいと考えています。もし企業が、サイバーセキュリティ意識向上トレーニングを実施していない企業の3分の2のうちの一社であれば、貴社のスタッフ、ひいては貴社全体が、「数の勝負」に対して脆弱になってしまいます。 

フィッシング攻撃の成功によって生じる主要なリスク: 

サイバーセキュリティ意識向上へのトレーニングから開始 

サイバー攻撃の深刻な結果を考えると、組織の予算計画にはサイバーセキュリティ対策を含めるべきです。適切な訓練を受けたセキュリティスタッフと必要なサイバーセキュリティソフトウェアに加えて、「ヒューマンエラー」に対処するためには、攻撃を防ぐためのスタッフの意識トレーニングと、攻撃が重大な段階に達する前に回避するための緊急計画の2つを用意しておく必要があります。 

スタッフ向けのトレーニングプログラムには、フィッシングの試みを認識する方法と、回避するためのリスクの高い行動を含める必要があります。既製のトレーニングソリューションでは、これらのシナリオと練習問題やクイズを網羅したものが用意されています。多くのトレーニングは組織に合わせてカスタマイズ可能です。このような研修は、少なくとも年に一度は実施すべきです。また、年間を通じて、更新したスタッフにリマインダーを送るなどして研修を実施する必要があります。 

トレーニングと並行して、IT部門は、スタッフの意識をテストするために、年に数回、偽のフィッシングメールを送信することで、フィッシングテストを実施することをお勧めします。例えば、明らかに怪しいメールアドレスから、スタッフに緊急にリンクをクリックするように求めるメールを送ります。このメールにはスペルミスが多発している可能性があります。もう一つは、最高経営責任者(CEO)からのメールのように、すぐに添付ファイルを開くようにお願いするメールを送ります。ポイントは、スタッフを「騙す」のではなく、日々の業務の中でフィッシングの見破り方を学んでもらうことです。 

組織は、一般的な研修に加えて、機密情報に関する社内方針を説明する必要があります。例えば、ヘルプデスクがパスワードをメールで送信するように要求することは決してないことをスタッフに知らせます。あるいは、組織が外部の情報源にリンクを埋め込んだメールを送信する予定の場合、スタッフは常に警告を受け取るという方針を説明します。 

緊急時への計画 

予防は必要不可欠ですが、どんなに訓練されたスタッフでもヒューマンエラーを起こす可能性があります。だからこそ、緊急時の計画が重要です。どうすればいいかを知っていれば、暴走する前に攻撃を止めることができます。例えば、組織がランサムウェア攻撃を受けた場合、すぐに緊急計画を実行することで、システムを迅速に切断し、詐欺師がアクセスできる領域を隔離し、すぐにスタッフに警告メッセージを伝えることができます。計画がなければ、何をすべきかを考えるために奔走して貴重な時間を失うことになりかねません。よく考え抜かれた計画によって、小さな中断と大惨事の違いが生まれます。 

サイバーセキュリティ計画を遅らせない 

サイバー意識の向上を始めることは、困難で時間のかかることなので、待っていてはいけません。サイバー犯罪の機会が増えても、すぐにはサイバー犯罪はなくなりません。サイバーセキュリティの専門知識をすべて社内に持っている必要はなく、自分で計画を作成する必要がないというのは良いニュースです。専門家のパートナーは、適切な保護、トレーニング材料、および緊急時の準備計画を適切な場所で取得するのに役立ちます。詳細については、お電話でお問い合わせください。 

関連記事

A business professional sitting with a laptop at a table and smiling.
2023年2月10日

顧客に関わる個人情報の保護について:リスク、要件、そして会社を安全に保つ方法とは

Article 1 min read
サイバーセキュリティの脅威についてコンピューターでドキュメントを確認する男性
2019年1月31日

中小企業がサイバーセキュリティに脆弱な3つの理由とその対処法

Article 1 min read
Close up of a business professional's face as they read on their laptop about how to prepare their organization for AI.
August 20, 2024

Preparing your organization for AI: Opportunities, risks, and necessary governance

Webinar 1 hour watch