目次:
ビデオ: ACQUAã®ããã12æ19æ¥äºåã ã¼ãã¼ (十一月 2024)
フィッシングメールを初めて目にしたのは、現在PCMagのビジネスエディターであるOliver Ristとのテストプロジェクトに取り組んでいた2000年のことです。 ある朝、2人とも件名が「I Love You」のメールを受信しました。これもメールの本文であり、添付ファイルがありました。 雑誌編集者として、誰も私たちを愛していないことを知っていたので、私たちは二人ともすぐにメールが偽物でなければならないと知っていました。 添付ファイルをクリックしませんでした。 事実上、私たちは人間のファイアウォールとして機能していました。 偽の電子メールを目に見える形で認識し、その内容をコンピューターやネットワーク全体に広めるのではなく、削除しました。
人間:依然として主要な攻撃手段
フィッシングメールが広く知られている理由は、それらが非常に一般的だからです。 今では、電子メールアカウントを持っている人は、ある時点でフィッシングメールを受信することになります。 この電子メールは、銀行、クレジットカード会社、または頻繁に使用する他のビジネスから送信されたふりをします。 しかし、攻撃者があなたに対して従業員を使用しようとするため、フィッシングメールは組織にとって脅威になる可能性があります。 この攻撃の別の初期バージョンは、忙しい幹部が支払いのためにそれらを単に提出することを期待して、攻撃者が大企業に決して提供されなかったサービスの請求書を単にファックスするファックスの黄金時代に来ました。
フィッシングは驚くほど効果的です。 昨年560件のデータ侵害を調査した法律事務所BakerHostetlerの調査によると、フィッシングは今日のデータセキュリティインシデントの主な原因です。
残念ながら、テクノロジーはフィッシング攻撃に追いついていません。 悪意のある電子メールを除外するように設計されたセキュリティデバイスとソフトウェアパッケージがいくつかありますが、フィッシングメールを作成する悪者は、攻撃がクラックをすり抜けることを確認するために懸命に働いています。 Cyrenの調査によると、電子メールスキャンは、悪意のある電子メールの検出で10.5%の失敗率を示しています。 小規模から中規模のビジネス(SMB)でも、大量の電子メールが追加される可能性があり、ソーシャルエンジニアリング攻撃を含む電子メールは組織にとって脅威になる可能性があります。 また、エンドポイント保護手段によって忍び込んだほとんどのマルウェアの場合のような一般的な脅威ではなく、最も価値のあるデータとデジタルリソースを特に対象とする、より悪質な種類の脅威です。
人事(HR)の専門家がセキュリティ意識を教えるのを支援できるKnowBe4の創設者兼CEOであるStu Sjouwermanとの会話の中で、Cyrenの報告に注意を促されました。 「人間のファイアウォール」という用語を持ち出し、「人間のハッキング」についても議論したのは、ショーワーマンでした。 彼の提案は、組織がソーシャルエンジニアリング攻撃の有効性を防止または低減するために、スタッフが問題を解決できるように一貫したトレーニングを行うことです。
もちろん、多くの組織がセキュリティ意識向上トレーニングセッションを開催しています。 おそらく、古いコーヒーと古いドーナツがペアになっている会議で、人事に雇われた請負業者がフィッシングメールに陥らないように15分を費やしているのに、実際に何をしているのか、何をすべきかを説明せずに、あなたはそれを見つけたと思う。 はい、それらの会議。
Sjouwermanがより効果的だと提案したのは、実際のフィッシングメールにアクセスできるインタラクティブなトレーニング環境を作成することです。 おそらく、全員がフィッシングメールを指し示す要因(スペルの悪さ、本物に見えるアドレス、検査では意味をなさない要求など)を確認しようとするグループの努力が必要です(たとえば、不明な受取人への企業資金)。
ソーシャルエンジニアリングに対する防御
しかし、Sjouwermanは、ソーシャルエンジニアリングには複数のタイプがあることも指摘しました。 彼は、企業が従業員の学習を支援するために使用できる一連の無料ツールをKnowBe4 Webサイトで提供しています。 彼はまた、企業がソーシャルエンジニアリング攻撃と戦うために取ることができる次の9つのステップを提案しました。
- ソーシャルエンジニアリング攻撃が発生したときに認識できるようにスタッフをトレーニングすることにより、ヒューマンファイアウォールを作成します。
- 頻繁にシミュレートされたソーシャルエンジニアリングテストを実施して、従業員がつま先を保つようにします。
- フィッシングセキュリティテストを実施します。 Knowbe4には無料のものがあります。
- CEOの詐欺に注意してください。 これらは、攻撃者がCEOまたは他の高位の役員からのものであるように見せかけた電子メールを作成し、緊急の送金などのアクションを指示する攻撃です。 KnowBe4の無料ツールを使用して、ドメインがスプーフィングされる可能性があるかどうかを確認できます。
- 模擬フィッシングメールを従業員に送信し、そのリンクがクリックされた場合に警告するリンクを含めます。 どの従業員がそれに陥るのかを追跡し、複数回その従業員にトレーニングを集中します。
- 「ビッシング」に備えてください。これは、従業員から行動を起こそうとするメッセージが残されるボイスメールソーシャルエンジニアリングの一種です。 それらは、法執行機関、内国歳入庁(IRS)、またはMicrosoftの技術サポートからの呼び出しのように見える場合があります。 従業員がこれらの電話を返さないことを確認してください。
- 従業員に「テキストフィッシング」または「SMiShing(SMSフィッシング)」を警告します。これは、メールフィッシングに似ていますが、テキストメッセージを使用します。 この場合、リンクは連絡先リストなどの機密情報を携帯電話から取得するように設計されている場合があります。 彼らは、たとえ友人からのものであるように見えても、テキストメッセージのリンクに触れないように訓練されなければなりません。
- ユニバーサルシリアルバス(USB)攻撃は驚くほど効果的であり、エアギャップネットワークに侵入するための信頼できる方法です。 その仕組みは、誰かがトイレ、駐車場、または従業員が頻繁に訪れる他の場所にUSBメモリスティックを置いたままにすることです。 スティックには魅力的なロゴやラベルが付いているかもしれません。 従業員がそれらを見つけて便利なコンピュータに挿入すると(そうでない場合は教えられます)、従業員のマルウェアがネットワークに侵入します。 これが、Stuxnetマルウェアがイランの核プログラムに侵入した方法です。 Knowbe4には、これをテストする無料のツールもあります。
- パッケージ攻撃も驚くほど効果的です。 これは、誰かが箱(またはピザ)を抱えて現れ、配達できるように入れるように頼みます。 あなたが見ていない間、彼らはUSBデバイスを近くのコンピューターに入れます。 従業員は、シミュレートされた攻撃を実行することにより訓練される必要があります。 このためのトレーニングを行って、適切な場合はピザを共有することで、彼らを励ますことができます。
ご覧のように、ソーシャルエンジニアリングは真の挑戦であり、あなたが望むよりもはるかに効果的です。 それと戦う唯一の方法は、従業員を積極的に関与させてそのような攻撃を見つけ出し、呼びかけることです。 正しくすれば、従業員は実際にこのプロセスを楽しんでくれます。そして、無料のピザも手に入れるかもしれません。
