2019年04月04日 05時00分 公開
特集/連載

「偽のフィッシングメール」の効果的な使い方ソーシャルエンジニアリング攻撃に備える

エンドユーザーによって引き起こされるセキュリティ脅威は、ソフトウェアでは防ぎきれない。本稿ではフィッシングやマルウェアなど、IT担当者が従業員に周知すべき脅威と、セキュリティ教育の方法について考える。

[John Powers,TechTarget]
photo

 IT部門の最も重要な役割の一つに、エンドユーザーのミスの防止と、自社のデータや資産のセキュリティ確保がある。最も深刻な脆弱(ぜいじゃく)性の一部はエンドユーザー自身によってもたらされる。

 メールフィルタリングやマルウェア対策、ファイアウォールは、セキュリティにとって重要な要素だ。ただしエンドユーザーが引き起こすセキュリティの問題全てが、ソフトウェアで解決できるわけではない。例えばエンドユーザーはクレデンシャル(ログイン資格情報)を誤って漏らす恐れがある。それはフィッシング攻撃を受けたことが原因かもしれないし、安全性が低いネットワークに接続したことが原因かもしれない。

 脅威の種類によっては、危険な行動を取らないようにするための従業員教育が最善の選択肢になる。IT担当者は、セキュリティに関して自社が抱える課題を特定し、エンドユーザー向けのセキュリティトレーニングをしなければならない。今回は、エンドユーザーのセキュリティを強化するのに効果的なトレーニング方法について説明する。

ソーシャルエンジニアリング攻撃とフィッシング

 ソーシャルエンジニアリング攻撃を仕掛ける攻撃者は、エンドユーザーの心理に働き掛け、セキュリティ対策を回避するよう仕向ける。これは恐らくIT担当者にとって、エンドユーザーのセキュリティを脅かす最も重要な問題だ。攻撃者は、メールやソーシャルメディアなどの経路を利用してエンドユーザーに接触する。

 フィッシング攻撃は、メールを使用するソーシャルエンジニアリング攻撃の一つだ。攻撃者はメールに記載したリンクから、エンドユーザーを違法なWebサイトに誘導し、ログイン情報を入力させたり、メールの添付ファイルをダウンロードしたりするように仕向ける。

 攻撃者は、特定のエンドユーザーに狙いを定めて、直接フィッシング攻撃を仕掛ける場合もある。攻撃の標的になるのは、だまされやすいエンドユーザーと、貴重なデータやリソースにアクセスできるエンドユーザーだ。幹部社員が大掛かりなソーシャルエンジニアリング攻撃の標的になるのは、こうした理由がある。

フィッシング攻撃の有効な教育方法

ITmedia マーケティング新着記事

news045.jpg

「ファッションテック」から「3密回避」まで データによる価値創造と課題解決の考え方
気象データを活用してファッションコーデを提案するサービスをデジタルエージェンシーの...

news153.jpg

脳波計測で判明 Twitterを使いながら番組を見る人は満足度が高い――Twitter Japan調査
脳波を活用した感性把握技術を活用して「テレビとTwitter」の関係について分析しています。

news058.jpg

旅行業界のデジタルシフトと「Go To トラベル」後の課題 びゅうトラベルサービスに聞く
列車旅の拡大活性化を目指してデジタルシフトを進めるJR東日本グループの旅行会社びゅう...