会社のヘルプデスクからのメールが全スタッフに送信され、パスワードを更新するためのリンクをクリックするよう指示されます。実際そのメールは会社のヘルプデスクからのものではなく、サイバー犯罪者からのものです。訓練を受けていないスタッフは悪意あるリンクをクリックしてしまいます。次の瞬間、組織のファイルがロックされ、支払いをしなければ機密データが公開される、というメモがあることに気づきます。これはランサムウェア攻撃です。フィッシングメールを特定して回避するためのトレーニングをしていなければ、組織は大きなリスクにさらされます。
犯罪につながることが多いのは、「必要性」「機会」「知識」の3つです。COVID-19は大きな変化をもたらしました。世界中の経済は、何百万人もの人が仕事を失ったままで荒廃しています。その結果、経済的な圧力が「必要性」を生み出しています。また、パンデミックによって、人々の仕事場は公共の場から自宅へと変化し、テクノロジーの使用が劇的に増加しました。これにより、オンラインで活動を行う犯罪者に「機会」が生まれました。3つ目の要素である「知識」は容易な部分です。Googleにアクセスして、動機があれば、誰でも知識を取得できます。サイバー詐欺師に必要なのは標的であり、それはあなた自身、あなたの会社のスタッフ、そしてあなたの会社かもしれません。
COVID-19時代のフィッシング詐欺戦略
COVID-19は、サイバー攻撃の「機会」を提供しています。最近の詐欺には共通の傾向があります。しばしば、詐欺師は、予測しないときに、権威ある団体から来ているように見せかけ、「問題」がすぐに解決することを示唆し、リンクをクリックしたり、個人情報を提供するように、といった行動を取るように求めてきます。フィッシング攻撃は次のような形式で行われます。
- オフィスの技術部門からパスワードの更新を求めるメール。
- 国税庁に借金していて、緊急に支払う必要があると主張する自動電話。
- 荷物に緊急の注意が必要だと言う宅配便からのメール。
この手の詐欺は最近多くなってきており、流行り始めた頃から、皆さんは少なくとも1回は経験している可能性が高いです。
フィッシングが蔓延しているにもかかわらず、その認知度は驚くほど低いものです。最近の調査では、米国の労働者の49%が「フィッシング」という言葉を知っていると回答しました。また別の調査では、職場でサイバーセキュリティのトレーニングを受けている労働者は31%しかいないと報告されています。これらの統計を考えると、フィッシング詐欺の認知度が低いことが理解できます。
サイバーセキュリティ意識の訓練をしないと起こるリスク
フィッシングは「数の勝負」です。ハッカーはターゲットに向けて大量のテキストやメールなどを発信しており、ほんの数人が罠にかかればいいと考えています。もし企業が、サイバーセキュリティ意識向上トレーニングを実施していない企業の3分の2のうちの一社であれば、貴社のスタッフ、ひいては貴社全体が、「数の勝負」に対して脆弱になってしまいます。
フィッシング攻撃の成功によって生じる主要なリスク:
- 業務の中断:サイバー犯罪者は、組織をオフラインにしたり、データを盗んだりすることができます。このような事業運営の中断は、商品やサービスの遅延、深刻な財務上の問題、評判の低下を招く可能性があります。攻撃の種類やサイバーレジリエンスのレベルにもよりますが、フィッシングやその他のハッキングを認識するためにスタッフを訓練することで、攻撃に対する防御を事前に強化することが成果を上げるための重要な要素です。
- 機密データの損失:顧客はサイバー攻撃の犠牲になった企業への信頼を急速に失うことになりますが、データの損失ほど信頼を損なうものはありません。貴社は、顧客や顧客に関する個人情報を保有している可能性が高く、それを保護するのは貴社の義務です。これに失敗してしまうと、事業を立て直すことができなくなる可能性があります。貴社が所有しているデータが安全だと思わないのに、貴社を信頼することがあるでしょうか?また、データを適切に保護しなかった場合、重い罰金を科せられる可能性もあります。
- ランサムウェア:ランサムウェアは、ハッカーがオンラインで「ローンチ&ゴー」キットを購入するだけで実行できるサイバー攻撃の代表的な形態です。フィッシングに成功すれば、高額の支払いに同意するまで、犯罪者はシステムに侵入してデータをロックできます。それは、事業の中断に加えて、深刻な技術的、倫理的な課題が生まれることを意味します。
サイバーセキュリティ意識向上へのトレーニングから開始
サイバー攻撃の深刻な結果を考えると、組織の予算計画にはサイバーセキュリティ対策を含めるべきです。適切な訓練を受けたセキュリティスタッフと必要なサイバーセキュリティソフトウェアに加えて、「ヒューマンエラー」に対処するためには、攻撃を防ぐためのスタッフの意識トレーニングと、攻撃が重大な段階に達する前に回避するための緊急計画の2つを用意しておく必要があります。
スタッフ向けのトレーニングプログラムには、フィッシングの試みを認識する方法と、回避するためのリスクの高い行動を含める必要があります。既製のトレーニングソリューションでは、これらのシナリオと練習問題やクイズを網羅したものが用意されています。多くのトレーニングは組織に合わせてカスタマイズ可能です。このような研修は、少なくとも年に一度は実施すべきです。また、年間を通じて、更新したスタッフにリマインダーを送るなどして研修を実施する必要があります。
トレーニングと並行して、IT部門は、スタッフの意識をテストするために、年に数回、偽のフィッシングメールを送信することで、フィッシングテストを実施することをお勧めします。例えば、明らかに怪しいメールアドレスから、スタッフに緊急にリンクをクリックするように求めるメールを送ります。このメールにはスペルミスが多発している可能性があります。もう一つは、最高経営責任者(CEO)からのメールのように、すぐに添付ファイルを開くようにお願いするメールを送ります。ポイントは、スタッフを「騙す」のではなく、日々の業務の中でフィッシングの見破り方を学んでもらうことです。
組織は、一般的な研修に加えて、機密情報に関する社内方針を説明する必要があります。例えば、ヘルプデスクがパスワードをメールで送信するように要求することは決してないことをスタッフに知らせます。あるいは、組織が外部の情報源にリンクを埋め込んだメールを送信する予定の場合、スタッフは常に警告を受け取るという方針を説明します。
緊急時への計画
予防は必要不可欠ですが、どんなに訓練されたスタッフでもヒューマンエラーを起こす可能性があります。だからこそ、緊急時の計画が重要です。どうすればいいかを知っていれば、暴走する前に攻撃を止めることができます。例えば、組織がランサムウェア攻撃を受けた場合、すぐに緊急計画を実行することで、システムを迅速に切断し、詐欺師がアクセスできる領域を隔離し、すぐにスタッフに警告メッセージを伝えることができます。計画がなければ、何をすべきかを考えるために奔走して貴重な時間を失うことになりかねません。よく考え抜かれた計画によって、小さな中断と大惨事の違いが生まれます。
サイバーセキュリティ計画を遅らせない
サイバー意識の向上を始めることは、困難で時間のかかることなので、待っていてはいけません。サイバー犯罪の機会が増えても、すぐにはサイバー犯罪はなくなりません。サイバーセキュリティの専門知識をすべて社内に持っている必要はなく、自分で計画を作成する必要がないというのは良いニュースです。専門家のパートナーは、適切な保護、トレーニング材料、および緊急時の準備計画を適切な場所で取得するのに役立ちます。詳細については、お電話でお問い合わせください。