2019年04月04日 05時00分 公開
特集/連載

「偽のフィッシングメール」の効果的な使い方ソーシャルエンジニアリング攻撃に備える

エンドユーザーによって引き起こされるセキュリティ脅威は、ソフトウェアでは防ぎきれない。本稿ではフィッシングやマルウェアなど、IT担当者が従業員に周知すべき脅威と、セキュリティ教育の方法について考える。

[John Powers,TechTarget]
photo

 IT部門の最も重要な役割の一つに、エンドユーザーのミスの防止と、自社のデータや資産のセキュリティ確保がある。最も深刻な脆弱(ぜいじゃく)性の一部はエンドユーザー自身によってもたらされる。

 メールフィルタリングやマルウェア対策、ファイアウォールは、セキュリティにとって重要な要素だ。ただしエンドユーザーが引き起こすセキュリティの問題全てが、ソフトウェアで解決できるわけではない。例えばエンドユーザーはクレデンシャル(ログイン資格情報)を誤って漏らす恐れがある。それはフィッシング攻撃を受けたことが原因かもしれないし、安全性が低いネットワークに接続したことが原因かもしれない。

 脅威の種類によっては、危険な行動を取らないようにするための従業員教育が最善の選択肢になる。IT担当者は、セキュリティに関して自社が抱える課題を特定し、エンドユーザー向けのセキュリティトレーニングをしなければならない。今回は、エンドユーザーのセキュリティを強化するのに効果的なトレーニング方法について説明する。

ソーシャルエンジニアリング攻撃とフィッシング

 ソーシャルエンジニアリング攻撃を仕掛ける攻撃者は、エンドユーザーの心理に働き掛け、セキュリティ対策を回避するよう仕向ける。これは恐らくIT担当者にとって、エンドユーザーのセキュリティを脅かす最も重要な問題だ。攻撃者は、メールやソーシャルメディアなどの経路を利用してエンドユーザーに接触する。

 フィッシング攻撃は、メールを使用するソーシャルエンジニアリング攻撃の一つだ。攻撃者はメールに記載したリンクから、エンドユーザーを違法なWebサイトに誘導し、ログイン情報を入力させたり、メールの添付ファイルをダウンロードしたりするように仕向ける。

 攻撃者は、特定のエンドユーザーに狙いを定めて、直接フィッシング攻撃を仕掛ける場合もある。攻撃の標的になるのは、だまされやすいエンドユーザーと、貴重なデータやリソースにアクセスできるエンドユーザーだ。幹部社員が大掛かりなソーシャルエンジニアリング攻撃の標的になるのは、こうした理由がある。

フィッシング攻撃の有効な教育方法

ITmedia マーケティング新着記事

news156.jpg

サイロ化の現実 75%の企業は部門間が連携せず、むしろ競争関係にある――Accenture調査
デジタル変革(DX)における不十分な事業部間連携は業績低下につながるというAccentureの...

news052.png

ゲーム業界がコロナ禍でTwitterを活用したコミュニケーションに注力した理由
コロナ禍において「巣ごもり消費」が拡大し追い風が吹いているといわれるゲーム業界だが...

news139.jpg

コロナ禍の観光に見える20の兆しとは? TBWA HAKUHODOなどが「観光復興ガイド」を公開
SNS上の旅行に対する価値観の激しい変化を分析し、そこから見えた20の新たな兆しとその後...