SNS、メッセンジャー、クラウド:従業員は使い、サイバー犯罪者は悪用する

従業員が業務デバイスから利用することの多いWebサービスは、サイバー犯罪者によって悪用されることの多いWebサービスと重複しています。

SNSやメッセンジャー、そしてクラウドサービスは、日常生活の中で、一般的に使用されています。SNSやメッセンジャーに限らず、利用者の多いWebサービスは、サイバー犯罪に使われることがしばしばです。これまでにも、FacebookやWhatsAppを通じた詐欺が横行したり、近年急激に利用者を増やしているTikTokで偽アカウントや詐欺が増加(英語)を見せるなどしています。

企業としてもそのリスクを認識しており、一部Webサービスの利用を制限するなどの対策を取っています。その対策は本当に実効性があるものなのでしょうか。

統計データ

Kasperskyでは、当社独自のクラウドサービス「Kaspersky Security Network(KSN)」*1によって収集されたデータを分析し、さらに、法人向け製品「Kaspersky Endpoint Security Cloud」*2によって検知されたイベント統計の解析によって、多くの利用者を抱える人気のWebサービスが中小規模の企業にもたらしかねないリスクを探りました。

*1 KSNのデータは、製品をご利用のお客様により有志で提供された、個人を特定できないメタデータで構成されています
*2 Kaspersky Endpoint Security Cloudは、日本では未提供です

業務用デバイスからのアクセス

当社製品が検知したイベントの匿名データを集計したところ、従業員が業務用デバイスからアクセスするWebサービスの上位5位は、以下のとおりとなりました。世界中に多くの利用者を抱えるサービスが名を連ねています。

  1. YouTube(動画共有サービス)
  2. Facebook(SNS)
  3. Googleドライブ(ファイル共有サービス)
  4. Gmail(Webメールサービス)
  5. WhatsApp(メッセンジャー)

※Kaspersky Endpoint Security Cloudのベータテスト期間中に、お客様より自発的に提供いただいた、匿名化されたメタデータを集計したもの

フィッシングに利用されるWebサービス

先にも述べたとおり、人気の高いWebサービスはサイバー犯罪行為にもよく利用されます。KSNのデータによると、フィッシングの試みが最も多く観測されたアプリケーションは、上から順に以下のとおりとなりました。括弧内は、検知されたフィッシング試行の回数を示します。

  1. Facebook(450万回)
  2. WhatsApp(370万回)
  3. Amazon(330万回)
  4. Apple(310万回)
  5. Netflix(270万回)

なお、これに続く6位はGoogleの提供する複合サービス(YouTube、Gmail、Googleドライブなど)で、フィッシング試行回数は150万回でした。

保護すべきポイントはどこに

製品の統計からは、業務用デバイス上での使用が制限されている可能性の高いWebサービスを読み取ることもできました。上位5つはFacebook、Twitter、Pinterest、Instagram、LinkedInと、SNSが占めています。企業がこうした判断を下す背景には、データ保護規制の順守、SNS使用に関する組織内のポリシーへの準拠など、さまざまな理由があると考えられます。

ここまでを表にまとめると、以下のようになります。最もフィッシング詐欺の試みが多く観測されているFacebookが、使用制限されていることの多いサービスのランキングでもトップになっています。しかし、同じくフィッシング試行回数が多く観測されたメッセンジャーやメールサービス、ファイル共有できるクラウドサービスについては、使用制限のランキングには入っていません。おそらく、個人的な利用以外に、業務上で使用されることも多いためだと考えられます。

最も使用されているサービス*3 使用制限されていることが多いサービス*3 フィッシングの試行回数が多いサービス*4
YouTube Facebook Facebook
Facebook Twitter WhatsApp
Googleドライブ Pinterest Amazon (すべてのサービスを含む)
Gmail Instagram Apple (iCloudほか、すべてのサービスを含む)
WhatsApp LinkedIn Netflix

*3 Kaspersky Endpoint Security Cloudによって同製品のベータテスト期間中に収集されたデータに基づく
*4 Kaspersky Security Network(KSN)によって2020年4月〜9月の期間に収集されたデータに基づく

Webサービスを安全に利用するために

このように、実際に従業員が利用するWebサービスとフィッシング攻撃の回数が多かったWebサービスの間には重複が見られたものの、企業がリスクと見なすWebサービスとの間には違いがあります。業務上やむなく利用を許可せざるを得ないWebサービスがあることを考えると、ただ利用を制限するだけでは本質的な解決にはなりません。

業務デバイスでのWebサービス利用について、当社からは以下の対策を推奨します。

  • 従業員に対し、偽のWebサイトや安全ではないWebサイトの見極め方、フィッシングメールの見分け方についての情報を提供する。併せて、アクセスしたWebサイトで何らかの情報の入力が求められた場合にはWebサイトを信頼できることが確認できるまで入力しないこと、よく知らない人からメールで届いたファイルを開いたりダウンロードしたりしないことを周知しましょう。
  • セキュリティ意識向上のためのトレーニングを従業員向けに実施する。
  • Webやネットワークやメールを通じた脅威に対抗できる、実績あるエンドポイントセキュリティ製品を導入する。
ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?

新着記事をメールでお知らせします