「メールフィッシングテスト」の効果を上げる7つの要素だまされないための訓練

フィッシング攻撃に対するセキュリティを向上させる最善の方法は、包括的なテストを実施することだ。どのユーザーが被害を受けやすいか、どのような種類のなりすましメールに引っ掛かりやすいかが特定できる。

2018年06月22日 05時00分 公開
[Kevin BeaverTechTarget]
IT部門が自らフィッシング詐欺メールを作成してみることで組織のリスクが明らかになる《クリックで拡大》

 最高度に強力な2要素認証、次世代ファイアウォール、最新のマルウェア対策またはWebコンテンツフィルタリングシステムを利用していても、ユーザーがフィッシングメールであることを見破って回避する方法を知らないと、組織の情報が漏えいする可能性がある。

 フィッシング詐欺メールはサイバー攻撃の一種で、スパムメールを信頼のおける発信元からのメールに偽装し、安全でないサイトのリンクへのクリックを誘導するものだ。これは、企業内では極めて危険な攻撃ベクトルだ。フィッシング詐欺は、組織内の全てのユーザーが対象となり得るので、そのセキュリティ対策は、ユーザーがフィッシング詐欺による脅威を阻止するために何に注意を払うべきか、その理解に依存している。

 ユーザーと経営幹部からの注意を引く最善の方法は、とにかくフィッシング詐欺がいかに簡単に成功するかを実証してみせることだ。そのためには、IT部門がフィッシングテストを計画する必要がある。フィッシングテストでは、IT部門が自らフィッシング詐欺メールを作成し、時間をかけて計画を実行する。

効果的なメールフィッシングテストとは?

1. 経営幹部の同意

 組織の上層部は、メールフィッシングテストの重要性を理解し、自ら進んで、そのテストの対象となることを受け入れる必要がある。

2. 全てのユーザーをテスト

 IT部門内でのみ実施するフィッシングテストは、どうあっても成功する可能性はない。組織幹部が関わる必要があるのだ。人事部や法務部などの部門についても同様だ。例外はない。誰もが攻撃の格好の標的となるので、IT部門のフィッシングテストについても何ら違いを作るべきではない。

3. クリックした先まで

 昔流のフィッシング詐欺メールでは、ユーザーにオンラインバンキングや電子商取引のリンクをクリックさせており、比較的簡単に模倣することができる。しかしながら、今日のフィッシング詐欺では、クリックすることを通して確認するテストだけでは不十分だ。より手の込んだフィッシング攻撃に対してユーザーに心の準備をさせるためには、テストを深く掘り下げてユーザーをけしかけて、ネットワークログイン認証情報などの機密情報を要求する必要がある。

4. ヒントを与える

ITmedia マーケティング新着記事

news149.jpg

最も利用率の高いショート動画サービスはTikTokではない?
ADKマーケティング・ソリューションズは、ショート動画に関する調査結果を発表しました。

news131.jpg

古くて新しいMMM(マーケティングミックスモデリング)が今注目される理由
大手コスメブランドのEstee Lauder Companiesはブランドマーケティングとパフォーマンス...

news087.png

Yahoo!広告 検索広告、生成AIがタイトルや説明文を提案してくれる機能を無料で提供
LINEヤフーは「Yahoo!広告 検索広告」において、ユーザーが誘導先サイトのURLを入力する...