「メールフィッシングテスト」の効果を上げる7つの要素：だまされないための訓練

フィッシング攻撃に対するセキュリティを向上させる最善の方法は、包括的なテストを実施することだ。どのユーザーが被害を受けやすいか、どのような種類のなりすましメールに引っ掛かりやすいかが特定できる。

[Kevin Beaver，TechTarget]

IT部門が自らフィッシング詐欺メールを作成してみることで組織のリスクが明らかになる《クリックで拡大》

　最高度に強力な2要素認証、次世代ファイアウォール、最新のマルウェア対策またはWebコンテンツフィルタリングシステムを利用していても、ユーザーがフィッシングメールであることを見破って回避する方法を知らないと、組織の情報が漏えいする可能性がある。

　フィッシング詐欺メールはサイバー攻撃の一種で、スパムメールを信頼のおける発信元からのメールに偽装し、安全でないサイトのリンクへのクリックを誘導するものだ。これは、企業内では極めて危険な攻撃ベクトルだ。フィッシング詐欺は、組織内の全てのユーザーが対象となり得るので、そのセキュリティ対策は、ユーザーがフィッシング詐欺による脅威を阻止するために何に注意を払うべきか、その理解に依存している。

　ユーザーと経営幹部からの注意を引く最善の方法は、とにかくフィッシング詐欺がいかに簡単に成功するかを実証してみせることだ。そのためには、IT部門がフィッシングテストを計画する必要がある。フィッシングテストでは、IT部門が自らフィッシング詐欺メールを作成し、時間をかけて計画を実行する。

併せて読みたいお薦め記事

セキュリティ最新トレンド

• 不正侵入やデータ流出にかかる実際の時間とは？　ハッカー調査で判明
• 仮想通貨を勝手に採掘するクリプトジャッキングの最悪の犯人
• 新マルウェア対策「モバイル脅威検知」「UEM」「マイクロ仮想化」とは

フィッシング対策

• ソフォス　実際の詐欺を再現するフィッシング対策訓練ツール「Sophos Phish Threat」
• フィッシング／なりすまし攻撃を防ぐDMARCのススメ

効果的なメールフィッシングテストとは？

1. 経営幹部の同意

　組織の上層部は、メールフィッシングテストの重要性を理解し、自ら進んで、そのテストの対象となることを受け入れる必要がある。

2. 全てのユーザーをテスト

　IT部門内でのみ実施するフィッシングテストは、どうあっても成功する可能性はない。組織幹部が関わる必要があるのだ。人事部や法務部などの部門についても同様だ。例外はない。誰もが攻撃の格好の標的となるので、IT部門のフィッシングテストについても何ら違いを作るべきではない。

3. クリックした先まで

　昔流のフィッシング詐欺メールでは、ユーザーにオンラインバンキングや電子商取引のリンクをクリックさせており、比較的簡単に模倣することができる。しかしながら、今日のフィッシング詐欺では、クリックすることを通して確認するテストだけでは不十分だ。より手の込んだフィッシング攻撃に対してユーザーに心の準備をさせるためには、テストを深く掘り下げてユーザーをけしかけて、ネットワークログイン認証情報などの機密情報を要求する必要がある。

4. ヒントを与える