「ウチの従業員はフィッシングメールを見抜けるのか」と経営層が考えるのは当然だ。実際にテストしてみるのも一案だ。だがやり方を間違えると炎上事件に発展する。
Verizonのデータ侵害レポート(2021年公開)によると、サイバーセキュリティ攻撃の80%はフィッシングメールから始まっている。従業員がフィッシングメールを見抜けるかどうか、企業がテストしようと考えても不思議ではない。しかしテストをするなら、攻撃者の戦術や手順を正確にエミュレーションしなければ意味がない。
フィッシング攻撃の最善(?)の策略は、
など、被害者の感情に訴え掛けるものだ。
従業員がフィッシングメールを見抜けるかどうかをテストするとして、どこに線を引けばよいのか。West Midlands Trainsが2021年に実施したテストは「一線を越えた」と非難された。
West Midlands Trainsは、コロナ禍における従業員の努力に感謝し、ボーナスを提供するというメールを約2500人の従業員に送付した。だがリンクをクリックした従業員には、これは「フィッシングテスト」であり、ボーナスはないというメッセージを添えたメールが送信された。
この事件は必然的に多くの批判と議論を引き起こした。テストに使う全ての計略は、標的にする人々を混乱させる恐れがある。そのため、テストの現実性とストレスや危害から従業員を守る義務とのバランスを取らなければならない。
道徳的には、標的にする人々の苦痛を最小限に抑える必要がある。
West Midlands Trainsが実施したテストが道徳的に間違っているかどうかを問うのではなく、逆効果になるのではないかを問う方が適切かもしれない。
サイバーセキュリティはITの問題だけではない。セキュリティに積極的に取り組む従業員が必要だ。こうしたテストによって従業員が動揺し、苦しみ、価値が下がったと感じたならば、全体のレジリエンスが損なわれる可能性がある。
サイバー犯罪者は目標達成のために感情に付け入ることもためらわないという反論があるのは当然だ。ソーシャルエンジニアリングとは人々を欺き、信頼を悪用し、人間関係を裏切ることに他ならない。フィッシング攻撃は被害者のことを考えずに行われる手口だ。攻撃チェーンを模倣するならば、その手口をそのまま再現する必要がある。
この点は正しい。だが攻撃者を模倣するに当たって従業員の精神的健康を見失っては利益にならない。
あらゆる種類のフィッシングテストで反応率がゼロだったとしても、攻撃者によるソーシャルエンジニアリングのリスクに対して従業員が安全だとする理由にはならない。混乱を引き起こすには足掛かりが一つあれば十分だ。
ソーシャルエンジニアリング攻撃の犠牲になった従業員の世話を怠り、信頼関係が失われると、資産とデータを保護する土台となる人間関係そのものが損なわれる恐れがある。攻撃チェーンを模倣するにはソーシャルエンジニアリングを行わなければならないが、人間への負担に注意し、被害者のダメージを最小限に抑えなければならない。こうした状況はグレーゾーンではあるが、標的となる危険にさらされている人間を忘れてはならない。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ドメインリスト貸し」は何がマズい? サイトの評判の不正使用について解説
「サイトの評判の不正使用」について理解し、正しい対策が取れるにしましょう。
代理店にもAIにも「丸投げ」はダメ 成果報酬型マーケティングを成功させるポイントは?
「成果報酬型マーケティング」を実現する上でインターネット広告業界が直面する課題とは...
YouTubeやTikTokの利用時間、20代以下ではテレビを圧倒 どれだけ差がついた?
YouTubeやTikTokでのコンテンツ視聴は購買行動に関係しているのか。PRIZMAが10代から30代...
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/Orla
