企業向けセキュリティソリューションは、常に改良されています。このため、サイバー犯罪者は企業ネットワークへの侵入に今まで以上の時間と資金を費やさざるを得なくなり、ソーシャルエンジニアリングに頼ることが増えています。人的要因を悪用し、手に入れやすい連絡先情報(人事担当者や広報担当者の情報)などを活用することによって、無防備な従業員からログイン情報を引き出すソーシャルエンジニアリングには、セキュリティソリューションによる防御は効きません。
フィッシングから企業を守る特効薬というものは、残念ながらありません。この問題には、組織的な対策と技術的な対策の両方が必要です。今回は、そのための具体的なアクションを一つ一つ見ていきます。
メールサーバーを保護する
ブラウザーと一部のメールクライアントは独自のセキュリティフィルターを備えていますが、サイバー犯罪者はそれを迂回するためのテクニックを多数持っています。例えば、メールマーケティングサービスを使用する方法などがあります(リンク先は英語)。
そこでまずは、フィッシングメールが従業員のメールボックスに達するのを阻止するところから始めるのがよいでしょう。メールゲートウェイのレベルで、受信メール内のリンクをチェックするだけでなく添付ファイル内の脅威も検知する、Kaspersky Security for Mail Serverなどのセキュリティソリューションを使用しましょう。
Microsoft 365を保護する
最近では多くの企業が、自前のメールサーバーを配備する代わりにクラウドサービス(主にMicrosoft 365)を使っています。Microsoftアカウントにログインできれば、機密情報や連絡先データが格納されている可能性のあるOneDriveやSharePointなどのサービスへアクセス可能となることから、Microsoftアカウントのログイン情報は、しばしばフィッシング攻撃で狙われます。メールを注意深く確認しなければならないと分かっている人でも、急いでいるときは、リンクをクリックしたりメールを誰かに転送したりしてしまう可能性があります。
Microsoftもセキュリティ技術を持ってはいますが、ここへさらに保護レイヤーを追加して強化することが可能ですし、そうするべきです。例えばKaspersky Security for Microsoft Office 365は、Officeサービスを通じた脅威の拡散を阻止し、スパムやフィッシングから守り、悪意ある添付ファイルを削除します。
従業員向けにトレーニングを実施する
サイバー犯罪者は最近、悪意あるリンクをメール内に隠す、文書に見せかけたトロイの木馬を添付する、SMSや電話で欺くなどの手口を使用しています。ホスティングプロバイダーやパートナー企業に勤める人のアカウントが侵害された場合には、その企業からフィッシングメールが届く可能性があります。従業員としては、このような手口があることを知り、不審なメールを見抜くことができなければなりません。
従業員向けのサイバーセキュリティ意識向上トレーニングは、社内のIT部門が実施する場合、外部の専門家が実施する場合があります。これに加えてKaspersky Automated Security Awareness Platform(KASAP)のようなオンライントレーニングを活用すれば、都合のよいときに実践形式で学習が可能です。
フィッシングメールのテストを実施する
業務に関連のある内容のテスト用フィッシングメールを送ってテストすることにより、従業員が実際に知識を応用する機会を作り、また本当のインシデントに備えられるようにします。こうしたテストを実施することで、改善が必要な分野や人を洗い出すこともできます。
不審なメールかどうか判断に迷った場合の問い合わせ先を周知する
基本的なサイバーセキュリティトレーニングを受けた従業員は、知らないアドレスから送信されてきた、企業ロゴが間違っている、誤字があるなどの視覚的なヒントに注目して、フィッシングメールの大半を見抜けるようになります。ただ、メールが安全かどうかの判断に専門家の力が必要になる場合もあります。不審なメールかどうかの判断に迷った場合の問い合わせ先を、新人研修マニュアルと会社ポータルの目立つところに記載しておきましょう。
ワークステーションを保護する
経験豊富で目ざとい人でも、間違うことはあります。フィッシングサイトへ誘導するリンクは、従業員の個人メールアカウントに届くこともあれば、メッセンジャー経由で届くこともあります。こういった通信経路は自社のセキュリティシステムの範疇を逸脱しているため、脅威を検知できない可能性があります。したがって、インターネット接続するワークステーションすべてに、セキュリティソリューションのインストールが不可欠です。全ワークステーションにセキュリティ製品が導入されていれば、万一フィッシングサイトへのリンクが誰かの手元に届き、その人がうっかりクリックしてしまった場合でも、フィッシングサイトへのリダイレクトを阻止することができます。
モバイルデバイスを保護する
従業員は、スマートフォンを使ってメールを読んだりお金に関する書類を見たりしますし、メッセンジャーアプリでチャットもします。以前からモバイルデバイスは企業セキュリティを脅かす存在ですが、大勢がテレワークする中では、脅威の度合いが増しています。モバイルデバイスへのフィッシング攻撃を阻止するには、これらのデバイスにもセキュリティソリューションが必要です。Kaspersky Endpoint Security for Businessは、ワークステーションのほかスマートフォンも保護します。
犯罪者の一足先を行く
フィッシング詐欺師は、新しい手口を常に生み出し続けています。中には、判断力のあるプロフェッショナルでもうっかりアカウント情報を差し出してしまうほど巧妙なものもあります。しかし、常識的な対応をいくつか取ることによって、サイバー犯罪者に機密情報を差し出してしまう機会をできるだけ少なくすることができます。
2段階認証を有効にする
企業で利用するオンラインサービスでは、2段階認証/2要素認証を有効にしましょう。2段階認証が設定してあると、攻撃者が企業アカウントの認証情報やメールのパスワードを手に入れたとしても、それだけではアカウントに侵入できません。
パスワードは使い回さない
業務で使うサービスごと、またはデバイスごとに別々のパスワードを使用するように、従業員に指示しましょう。こうしておけば、パスワードが1つ漏洩しても、それ以外のサービスやデバイスが危険にさらされるようなことにはなりません。
権限は最小限にとどめる
従業員の持つアクセス権が、その人が本当に必要なリソース(サーバー、クラウドストレージなど)に限定されていれば、サイバー犯罪者が企業アカウントを1つ掌握したからといって甚大な損害に至るようなことにはなりません。
アクションプラン
以上の対策を講じることで、従業員を(そしてビジネスを)フィッシングの脅威から守ることができます。手短にまとめると以下のとおりです。
- メールサーバーを保護する。
- Microsoft Officeの各種サービスを保護する。
- 従業員向けにトレーニングを実施する。
- フィッシング攻撃をシミュレーションして、トレーニングを強化する。
- 不審なメールかどうかの判断に迷った場合の問い合わせ先を周知する。
- ワークステーションを保護する。
- モバイルデバイスを保護する。
- 可能な場合、2段階認証を有効にする。
- 信頼できるセキュリティソリューションを使用する。