「メールフィッシングテスト」の効果を上げる7つの要素だまされないための訓練

フィッシング攻撃に対するセキュリティを向上させる最善の方法は、包括的なテストを実施することだ。どのユーザーが被害を受けやすいか、どのような種類のなりすましメールに引っ掛かりやすいかが特定できる。

2018年06月22日 05時00分 公開
[Kevin BeaverTechTarget]
IT部門が自らフィッシング詐欺メールを作成してみることで組織のリスクが明らかになる《クリックで拡大》

 最高度に強力な2要素認証、次世代ファイアウォール、最新のマルウェア対策またはWebコンテンツフィルタリングシステムを利用していても、ユーザーがフィッシングメールであることを見破って回避する方法を知らないと、組織の情報が漏えいする可能性がある。

 フィッシング詐欺メールはサイバー攻撃の一種で、スパムメールを信頼のおける発信元からのメールに偽装し、安全でないサイトのリンクへのクリックを誘導するものだ。これは、企業内では極めて危険な攻撃ベクトルだ。フィッシング詐欺は、組織内の全てのユーザーが対象となり得るので、そのセキュリティ対策は、ユーザーがフィッシング詐欺による脅威を阻止するために何に注意を払うべきか、その理解に依存している。

 ユーザーと経営幹部からの注意を引く最善の方法は、とにかくフィッシング詐欺がいかに簡単に成功するかを実証してみせることだ。そのためには、IT部門がフィッシングテストを計画する必要がある。フィッシングテストでは、IT部門が自らフィッシング詐欺メールを作成し、時間をかけて計画を実行する。

効果的なメールフィッシングテストとは?

1. 経営幹部の同意

 組織の上層部は、メールフィッシングテストの重要性を理解し、自ら進んで、そのテストの対象となることを受け入れる必要がある。

2. 全てのユーザーをテスト

 IT部門内でのみ実施するフィッシングテストは、どうあっても成功する可能性はない。組織幹部が関わる必要があるのだ。人事部や法務部などの部門についても同様だ。例外はない。誰もが攻撃の格好の標的となるので、IT部門のフィッシングテストについても何ら違いを作るべきではない。

3. クリックした先まで

 昔流のフィッシング詐欺メールでは、ユーザーにオンラインバンキングや電子商取引のリンクをクリックさせており、比較的簡単に模倣することができる。しかしながら、今日のフィッシング詐欺では、クリックすることを通して確認するテストだけでは不十分だ。より手の込んだフィッシング攻撃に対してユーザーに心の準備をさせるためには、テストを深く掘り下げてユーザーをけしかけて、ネットワークログイン認証情報などの機密情報を要求する必要がある。

4. ヒントを与える

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news037.jpg

Boseが新型イヤホンをアクセサリーに CMOが語る「オシャレ推しに転じた理由」は?
2024年2月にオープンイヤー型のイヤホン「Bose Ultra Open Earbuds」を発売したBose。従...

news005.jpg

「コミュニティー」の正解はオフライン? オンライン? トレジャーデータがコロナ禍で学んだこと
Treasure Data CDPユーザーが主体となって活動するコミュニティー「Treasure Data Rockst...

news170.jpg

ニトリやサツドラも導入 自社ECで「Amazonのようなビジネス」を実現するサービスの魅力
オンラインマーケットプレイス構築を支援するMiraklが日本で初のイベントを開催し、新た...