「偽のフィッシングメール」の効果的な使い方ソーシャルエンジニアリング攻撃に備える

エンドユーザーによって引き起こされるセキュリティ脅威は、ソフトウェアでは防ぎきれない。本稿ではフィッシングやマルウェアなど、IT担当者が従業員に周知すべき脅威と、セキュリティ教育の方法について考える。

2019年04月04日 05時00分 公開
[John PowersTechTarget]
photo

 IT部門の最も重要な役割の一つに、エンドユーザーのミスの防止と、自社のデータや資産のセキュリティ確保がある。最も深刻な脆弱(ぜいじゃく)性の一部はエンドユーザー自身によってもたらされる。

 メールフィルタリングやマルウェア対策、ファイアウォールは、セキュリティにとって重要な要素だ。ただしエンドユーザーが引き起こすセキュリティの問題全てが、ソフトウェアで解決できるわけではない。例えばエンドユーザーはクレデンシャル(ログイン資格情報)を誤って漏らす恐れがある。それはフィッシング攻撃を受けたことが原因かもしれないし、安全性が低いネットワークに接続したことが原因かもしれない。

 脅威の種類によっては、危険な行動を取らないようにするための従業員教育が最善の選択肢になる。IT担当者は、セキュリティに関して自社が抱える課題を特定し、エンドユーザー向けのセキュリティトレーニングをしなければならない。今回は、エンドユーザーのセキュリティを強化するのに効果的なトレーニング方法について説明する。

ソーシャルエンジニアリング攻撃とフィッシング

 ソーシャルエンジニアリング攻撃を仕掛ける攻撃者は、エンドユーザーの心理に働き掛け、セキュリティ対策を回避するよう仕向ける。これは恐らくIT担当者にとって、エンドユーザーのセキュリティを脅かす最も重要な問題だ。攻撃者は、メールやソーシャルメディアなどの経路を利用してエンドユーザーに接触する。

 フィッシング攻撃は、メールを使用するソーシャルエンジニアリング攻撃の一つだ。攻撃者はメールに記載したリンクから、エンドユーザーを違法なWebサイトに誘導し、ログイン情報を入力させたり、メールの添付ファイルをダウンロードしたりするように仕向ける。

 攻撃者は、特定のエンドユーザーに狙いを定めて、直接フィッシング攻撃を仕掛ける場合もある。攻撃の標的になるのは、だまされやすいエンドユーザーと、貴重なデータやリソースにアクセスできるエンドユーザーだ。幹部社員が大掛かりなソーシャルエンジニアリング攻撃の標的になるのは、こうした理由がある。

フィッシング攻撃の有効な教育方法

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news006.jpg

「TikTok禁止」は結局、誰得? どうするトランプ氏――2025年のSNS大予測(TikTok編)
米国での存続を巡る議論が続く一方で、アプリ内ショッピングやAI機能の拡大など、TikTok...

news202.jpg

ネットの口コミを参考に8割超が商品を購入 最も参考にした口コミの掲載先は?
ホットリンクは、口コミ投稿の経験や購買への影響を調査した結果を発表した。

news071.jpg

「生成AIの普及でSEOはオワコン」説は本当か?
生成AIの普及によりSEOが「オワコン」化するという言説を頻繁に耳にするようになりました...