全てのフィッシング詐欺を検知することはほとんど不可能だ。Dropboxへのフィッシング攻撃から学べる教訓とは。
オンラインストレージサービスを手掛けるDropboxは、2022年10月にフィッシング攻撃の被害を受けた。攻撃では、同社がソースコード共有サービス「GitHub」で管理するソースコードの一部に不正アクセスがあった。同社は「全てのフィッシング攻撃を検知することは不可能だ」と語る。フィッシング攻撃への対策では何を重視すればよいのか。
Dropboxのセキュリティチームは、「攻撃者がアクセスした情報は限定的なものだったが、今回の件を受けて従来よりも高いセキュリティ基準を設けた」と説明する。
今回の攻撃を受けて、Dropboxは多要素認証(MFA)の仕組みにパスワード不要の認証技術「WebAuthn」(Web Authentication)を採用することを前倒しするとみられる。同社は今回の攻撃よりも前にWebAuthnの導入を始めており、希望する顧客にはWebAuthnの機能を提供している。
セキュリティベンダーCybereasonのCSOサム・カリー氏は、Dropboxがさまざまな企業のデータを保管する企業である点を指摘し、「Dropboxは攻撃者にとって魅力的な標的だ。攻撃を防ぐための対策を実施する責任がある」と述べる。一方で同氏は、「Dropboxは自社の弱点を把握している。同社は認証や認可を強化するための計画を加速させ、セキュリティを向上させている」と評価する。
セキュリティ企業Outpost24 ABでCSO(最高セキュリティ責任者)を務めるマーティン・ジャーテリウス氏は、「フィッシング詐欺は効果的かつ安価で実施可能な攻撃手法であるため、ハッカーの間で人気を集め続けている」と話す。フィッシング攻撃を回避するための対策として、ジャーテリウス氏は以下を推奨する。
カリー氏は「企業が攻撃の被害を受けないためには、自社の規模や売上高から考える平均的なレベルよりも優れたセキュリティ対策を施さなければならない」とアドバイスする。具体的には、以下を実行し継続することが有効だ。
「歴史は、攻撃の被害者を犠牲者としてではなく、英雄か悪者かのどちらかで捉える。企業は英雄になるための決断をするべきだ」とカリー氏は言う。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
ブランドリスクの要因は「トランプ大統領」 どうするCMO――2025年のマーケティング予測10選【後編】
2025年はCMOの役割と課題が大きく変化すると予想される。具体的には何が起こるのか。「Ma...
AIはGoogleの地位を揺るがしているのか? Domoが年次レポートを公開
Domoの年次レポート「Data Never Sleeps」は、インターネット上で1分間ごとに起きている...
3500ブランドの市場・生活者データでマーケターのアイデア発想を支援 マクロミル「Coreka」でできること
マクロミルが創業25年で培ったリサーチや分析ノウハウを結集し、アイディエーションプラ...