2018年06月22日 05時00分 公開
特集/連載

「メールフィッシングテスト」の効果を上げる7つの要素だまされないための訓練

フィッシング攻撃に対するセキュリティを向上させる最善の方法は、包括的なテストを実施することだ。どのユーザーが被害を受けやすいか、どのような種類のなりすましメールに引っ掛かりやすいかが特定できる。

[Kevin Beaver,TechTarget]
IT部門が自らフィッシング詐欺メールを作成してみることで組織のリスクが明らかになる《クリックで拡大》

 最高度に強力な2要素認証、次世代ファイアウォール、最新のマルウェア対策またはWebコンテンツフィルタリングシステムを利用していても、ユーザーがフィッシングメールであることを見破って回避する方法を知らないと、組織の情報が漏えいする可能性がある。

 フィッシング詐欺メールはサイバー攻撃の一種で、スパムメールを信頼のおける発信元からのメールに偽装し、安全でないサイトのリンクへのクリックを誘導するものだ。これは、企業内では極めて危険な攻撃ベクトルだ。フィッシング詐欺は、組織内の全てのユーザーが対象となり得るので、そのセキュリティ対策は、ユーザーがフィッシング詐欺による脅威を阻止するために何に注意を払うべきか、その理解に依存している。

 ユーザーと経営幹部からの注意を引く最善の方法は、とにかくフィッシング詐欺がいかに簡単に成功するかを実証してみせることだ。そのためには、IT部門がフィッシングテストを計画する必要がある。フィッシングテストでは、IT部門が自らフィッシング詐欺メールを作成し、時間をかけて計画を実行する。

効果的なメールフィッシングテストとは?

1. 経営幹部の同意

 組織の上層部は、メールフィッシングテストの重要性を理解し、自ら進んで、そのテストの対象となることを受け入れる必要がある。

2. 全てのユーザーをテスト

 IT部門内でのみ実施するフィッシングテストは、どうあっても成功する可能性はない。組織幹部が関わる必要があるのだ。人事部や法務部などの部門についても同様だ。例外はない。誰もが攻撃の格好の標的となるので、IT部門のフィッシングテストについても何ら違いを作るべきではない。

3. クリックした先まで

 昔流のフィッシング詐欺メールでは、ユーザーにオンラインバンキングや電子商取引のリンクをクリックさせており、比較的簡単に模倣することができる。しかしながら、今日のフィッシング詐欺では、クリックすることを通して確認するテストだけでは不十分だ。より手の込んだフィッシング攻撃に対してユーザーに心の準備をさせるためには、テストを深く掘り下げてユーザーをけしかけて、ネットワークログイン認証情報などの機密情報を要求する必要がある。

4. ヒントを与える

ITmedia マーケティング新着記事

news134.jpg

B2BサービスサイトにおけるCVの58%はトップページからの直行――WACUL調査
CV(コンバージョン)を目的としたWebサイトの改善に必要な施策とは何か。4つのデータに...

news131.jpg

星野リゾートの「市場との対話の仕組み」とは?
新型コロナウイルス感染症(COVID-19)拡大という大ピンチに観光・宿泊業が生き残る鍵と...

news155.jpg

2020年上期インターネット広告市場動向と下期業種別出稿動向予測――サイバー・コミュニケーションズ調査
国内のデジタルマーケティング業界の関係者を対象にした、新型コロナ禍におけるインター...