「偽のフィッシングメール」の効果的な使い方：ソーシャルエンジニアリング攻撃に備える

エンドユーザーによって引き起こされるセキュリティ脅威は、ソフトウェアでは防ぎきれない。本稿ではフィッシングやマルウェアなど、IT担当者が従業員に周知すべき脅威と、セキュリティ教育の方法について考える。

[John Powers，TechTarget]

　IT部門の最も重要な役割の一つに、エンドユーザーのミスの防止と、自社のデータや資産のセキュリティ確保がある。最も深刻な脆弱（ぜいじゃく）性の一部はエンドユーザー自身によってもたらされる。

　メールフィルタリングやマルウェア対策、ファイアウォールは、セキュリティにとって重要な要素だ。ただしエンドユーザーが引き起こすセキュリティの問題全てが、ソフトウェアで解決できるわけではない。例えばエンドユーザーはクレデンシャル（ログイン資格情報）を誤って漏らす恐れがある。それはフィッシング攻撃を受けたことが原因かもしれないし、安全性が低いネットワークに接続したことが原因かもしれない。

併せて読みたいお薦め記事

標的型攻撃の最新事情

• “社長からのメール”は疑うべき？　「ビジネスメール詐欺」（BEC）の巧妙な手口
• 進化するソーシャルエンジニアリング攻撃、標的はSNSで物色される
• IT部門を青ざめさせるエンドユーザーの危険な行動

フィッシングテストについて詳しく

• 「メールフィッシングテスト」の効果を上げる7つの要素
• フィッシングメールをワンクリックで管理者に報告　プルーフポイントが訓練サービス

　脅威の種類によっては、危険な行動を取らないようにするための従業員教育が最善の選択肢になる。IT担当者は、セキュリティに関して自社が抱える課題を特定し、エンドユーザー向けのセキュリティトレーニングをしなければならない。今回は、エンドユーザーのセキュリティを強化するのに効果的なトレーニング方法について説明する。

ソーシャルエンジニアリング攻撃とフィッシング

　ソーシャルエンジニアリング攻撃を仕掛ける攻撃者は、エンドユーザーの心理に働き掛け、セキュリティ対策を回避するよう仕向ける。これは恐らくIT担当者にとって、エンドユーザーのセキュリティを脅かす最も重要な問題だ。攻撃者は、メールやソーシャルメディアなどの経路を利用してエンドユーザーに接触する。

　フィッシング攻撃は、メールを使用するソーシャルエンジニアリング攻撃の一つだ。攻撃者はメールに記載したリンクから、エンドユーザーを違法なWebサイトに誘導し、ログイン情報を入力させたり、メールの添付ファイルをダウンロードしたりするように仕向ける。

　攻撃者は、特定のエンドユーザーに狙いを定めて、直接フィッシング攻撃を仕掛ける場合もある。攻撃の標的になるのは、だまされやすいエンドユーザーと、貴重なデータやリソースにアクセスできるエンドユーザーだ。幹部社員が大掛かりなソーシャルエンジニアリング攻撃の標的になるのは、こうした理由がある。

フィッシング攻撃の有効な教育方法