SNS、メッセンジャー、クラウド:従業員は使い、サイバー犯罪者は悪用する

従業員が業務デバイスから利用することの多いWebサービスは、サイバー犯罪者によって悪用されることの多いWebサービスと重複しています。

SNSやメッセンジャー、そしてクラウドサービスは、日常生活の中で、一般的に使用されています。SNSやメッセンジャーに限らず、利用者の多いWebサービスは、サイバー犯罪に使われることがしばしばです。これまでにも、FacebookやWhatsAppを通じた詐欺が横行したり、近年急激に利用者を増やしているTikTokで偽アカウントや詐欺が増加(英語)を見せるなどしています。

企業としてもそのリスクを認識しており、一部Webサービスの利用を制限するなどの対策を取っています。その対策は本当に実効性があるものなのでしょうか。

統計データ

Kasperskyでは、当社独自のクラウドサービス「Kaspersky Security Network(KSN)」*1によって収集されたデータを分析し、さらに、法人向け製品「Kaspersky Endpoint Security Cloud」*2によって検知されたイベント統計の解析によって、多くの利用者を抱える人気のWebサービスが中小規模の企業にもたらしかねないリスクを探りました。

*1 KSNのデータは、製品をご利用のお客様により有志で提供された、個人を特定できないメタデータで構成されています
*2 Kaspersky Endpoint Security Cloudは、日本では未提供です

業務用デバイスからのアクセス

当社製品が検知したイベントの匿名データを集計したところ、従業員が業務用デバイスからアクセスするWebサービスの上位5位は、以下のとおりとなりました。世界中に多くの利用者を抱えるサービスが名を連ねています。

  1. YouTube(動画共有サービス)
  2. Facebook(SNS)
  3. Googleドライブ(ファイル共有サービス)
  4. Gmail(Webメールサービス)
  5. WhatsApp(メッセンジャー)

※Kaspersky Endpoint Security Cloudのベータテスト期間中に、お客様より自発的に提供いただいた、匿名化されたメタデータを集計したもの

フィッシングに利用されるWebサービス

先にも述べたとおり、人気の高いWebサービスはサイバー犯罪行為にもよく利用されます。KSNのデータによると、フィッシングの試みが最も多く観測されたアプリケーションは、上から順に以下のとおりとなりました。括弧内は、検知されたフィッシング試行の回数を示します。

  1. Facebook(450万回)
  2. WhatsApp(370万回)
  3. Amazon(330万回)
  4. Apple(310万回)
  5. Netflix(270万回)

なお、これに続く6位はGoogleの提供する複合サービス(YouTube、Gmail、Googleドライブなど)で、フィッシング試行回数は150万回でした。

保護すべきポイントはどこに

製品の統計からは、業務用デバイス上での使用が制限されている可能性の高いWebサービスを読み取ることもできました。上位5つはFacebook、Twitter、Pinterest、Instagram、LinkedInと、SNSが占めています。企業がこうした判断を下す背景には、データ保護規制の順守、SNS使用に関する組織内のポリシーへの準拠など、さまざまな理由があると考えられます。

ここまでを表にまとめると、以下のようになります。最もフィッシング詐欺の試みが多く観測されているFacebookが、使用制限されていることの多いサービスのランキングでもトップになっています。しかし、同じくフィッシング試行回数が多く観測されたメッセンジャーやメールサービス、ファイル共有できるクラウドサービスについては、使用制限のランキングには入っていません。おそらく、個人的な利用以外に、業務上で使用されることも多いためだと考えられます。

最も使用されているサービス*3 使用制限されていることが多いサービス*3 フィッシングの試行回数が多いサービス*4
YouTube Facebook Facebook
Facebook Twitter WhatsApp
Googleドライブ Pinterest Amazon (すべてのサービスを含む)
Gmail Instagram Apple (iCloudほか、すべてのサービスを含む)
WhatsApp LinkedIn Netflix

*3 Kaspersky Endpoint Security Cloudによって同製品のベータテスト期間中に収集されたデータに基づく
*4 Kaspersky Security Network(KSN)によって2020年4月〜9月の期間に収集されたデータに基づく

Webサービスを安全に利用するために

このように、実際に従業員が利用するWebサービスとフィッシング攻撃の回数が多かったWebサービスの間には重複が見られたものの、企業がリスクと見なすWebサービスとの間には違いがあります。業務上やむなく利用を許可せざるを得ないWebサービスがあることを考えると、ただ利用を制限するだけでは本質的な解決にはなりません。

業務デバイスでのWebサービス利用について、当社からは以下の対策を推奨します。

  • 従業員に対し、偽のWebサイトや安全ではないWebサイトの見極め方、フィッシングメールの見分け方についての情報を提供する。併せて、アクセスしたWebサイトで何らかの情報の入力が求められた場合にはWebサイトを信頼できることが確認できるまで入力しないこと、よく知らない人からメールで届いたファイルを開いたりダウンロードしたりしないことを周知しましょう。
  • セキュリティ意識向上のためのトレーニングを従業員向けに実施する。
  • Webやネットワークやメールを通じた脅威に対抗できる、実績あるエンドポイントセキュリティ製品を導入する。
ヒント