「ウチの従業員はフィッシングメールを見抜けるのか」と経営層が考えるのは当然だ。実際にテストしてみるのも一案だ。だがやり方を間違えると炎上事件に発展する。
Verizonのデータ侵害レポート(2021年公開)によると、サイバーセキュリティ攻撃の80%はフィッシングメールから始まっている。従業員がフィッシングメールを見抜けるかどうか、企業がテストしようと考えても不思議ではない。しかしテストをするなら、攻撃者の戦術や手順を正確にエミュレーションしなければ意味がない。
フィッシング攻撃の最善(?)の策略は、
など、被害者の感情に訴え掛けるものだ。
従業員がフィッシングメールを見抜けるかどうかをテストするとして、どこに線を引けばよいのか。West Midlands Trainsが2021年に実施したテストは「一線を越えた」と非難された。
West Midlands Trainsは、コロナ禍における従業員の努力に感謝し、ボーナスを提供するというメールを約2500人の従業員に送付した。だがリンクをクリックした従業員には、これは「フィッシングテスト」であり、ボーナスはないというメッセージを添えたメールが送信された。
この事件は必然的に多くの批判と議論を引き起こした。テストに使う全ての計略は、標的にする人々を混乱させる恐れがある。そのため、テストの現実性とストレスや危害から従業員を守る義務とのバランスを取らなければならない。
道徳的には、標的にする人々の苦痛を最小限に抑える必要がある。
West Midlands Trainsが実施したテストが道徳的に間違っているかどうかを問うのではなく、逆効果になるのではないかを問う方が適切かもしれない。
サイバーセキュリティはITの問題だけではない。セキュリティに積極的に取り組む従業員が必要だ。こうしたテストによって従業員が動揺し、苦しみ、価値が下がったと感じたならば、全体のレジリエンスが損なわれる可能性がある。
サイバー犯罪者は目標達成のために感情に付け入ることもためらわないという反論があるのは当然だ。ソーシャルエンジニアリングとは人々を欺き、信頼を悪用し、人間関係を裏切ることに他ならない。フィッシング攻撃は被害者のことを考えずに行われる手口だ。攻撃チェーンを模倣するならば、その手口をそのまま再現する必要がある。
この点は正しい。だが攻撃者を模倣するに当たって従業員の精神的健康を見失っては利益にならない。
あらゆる種類のフィッシングテストで反応率がゼロだったとしても、攻撃者によるソーシャルエンジニアリングのリスクに対して従業員が安全だとする理由にはならない。混乱を引き起こすには足掛かりが一つあれば十分だ。
ソーシャルエンジニアリング攻撃の犠牲になった従業員の世話を怠り、信頼関係が失われると、資産とデータを保護する土台となる人間関係そのものが損なわれる恐れがある。攻撃チェーンを模倣するにはソーシャルエンジニアリングを行わなければならないが、人間への負担に注意し、被害者のダメージを最小限に抑えなければならない。こうした状況はグレーゾーンではあるが、標的となる危険にさらされている人間を忘れてはならない。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/Orla
