教育と意識向上が第一歩
一見無害に見える悪意のあるメールがたった1通あるだけで、企業は数百万ドルの損失を被り、ビジネスの継続性を損なう可能性があります。 それに加えて、電子メール攻撃の巧妙化と巧妙なソーシャルエンジニアリング手法が使用され、潜在的なサイバー災害のレシピがあります。 そのため、組織は 最高のメールセキュリティソリューション を導入するだけでなく、これらの攻撃に対する最後の防御策として、メールスキームについて従業員を教育する必要があります。
一般的なソーシャルエンジニアリングの手法と、それらが人間の本性をどのように悪用するか
ソーシャルエンジニアは、人間がどのように働き、どのように考えるかを知っており、その知識を喜んで活用します。 ソーシャルエンジニアは、ターゲットに自分のやりたいことをさせるために、さまざまな戦術を使うことができます。
- 権限の使用: 組織はヒエラルキーとして構築され、トップの人が責任者になります。 ソーシャルエンジニアは、権威のある人物になりすまし、ターゲットに何らかの行動を命じることがあります。
- チャームをオンにする: 人は好きな人のために何かをする傾向があります。 ソーシャルエンジニアは、自分のカリスマ性を利用して、誰かに影響を与えてやりたいことをさせようとするかもしれません。
- ギブ&テイク: ソーシャルエンジニアは、ターゲットに些細なことを無料で与えるかもしれません。 そして、欲しいものを手に入れる義務感を利用するのです。
- 推薦を求めて: 人は、その人や大義を公に支持した後、誰かが頼んだことをする可能性が高くなります。 ソーシャルエンジニアは、被害者から公的な支持を得て、何かを要求します。
- 人気のあることをする: 人は人気者になりたがります。 ソーシャルエンジニアは、ターゲットを騙そうとしていることを「誰もがやっている」ように見せかけます。
- 供給不足: ソーシャルエンジニアは、自分たちが提供しているものを希少なものに見せたり、期間限定の取引のように見せたりすることがあります。 そのため、人々は急いでそれを手に入れる可能性があります(COVID-19のトイレットペーパーのように)。
サイバー犯罪者は、これらの戦術のすべてを使用して、組織のネットワークや機密情報にアクセスします。 COVID-19のパンデミック中およびパンデミック後、多くの従業員が在宅勤務をしているため、企業は以前よりも フィッシング攻撃に対して脆弱になっています 。
フィッシング攻撃の種類
簡単に言えば、 フィッシング 攻撃とは、電子メールやその他の通信プラットフォームを介して実行されるソーシャルエンジニアリング攻撃です。 これらの攻撃は、リンクをクリックさせたり、添付ファイルをダウンロードしたり、機密データを共有したり、その他の有害な行動をとらせるように設計されています。
フィッシング攻撃には、さまざまな形態があります。 一般的な例としては、次のようなものがあります。
- アカウントの問題: 一般的なフィッシングの手口は、オンラインアカウント(Amazon、Netflix、PayPalなど)の1つに問題があることを誰かに伝えることです。 慌ててリンクをクリックして問題を修正すると、攻撃者はログイン資格情報を収集します。
- ビジネスメール詐欺(BEC):BEC攻撃は、オーソリティを利用する典型的な例です。攻撃者は、組織内の重要な人物(CEO、経営陣など)になりすまし、攻撃者が管理する口座に送金するなど、有害な行動をターゲットに指示します。
- 偽の請求書: 攻撃者は、未払いの請求書の支払いを求めるベンダーになりすます可能性があります。 この不正、詐欺、不正行為は、被害者に攻撃者に送金させるか、マルウェアを含む添付ファイルをダウンロードして開かせるように設計されています。
- 共有クラウドドキュメント: サイバー犯罪者は、クラウドベースのドキュメント共有を利用して、 Office 365 のセキュリティやその他の組み込みのセキュリティソリューションを回避することがよくあります。 多くの場合、これらのツールはリンクが正当であることは確認しますが、共有ドキュメントに悪意のあるコンテンツが含まれていないことは確認しません。 また、攻撃者はドキュメントを共有しているふりをして、被害者にログイン資格情報の入力を要求するページを表示し、それらを攻撃者に送信する可能性があります。
これらのメールの多くは、正規のメールに見えるように設計されています。 メールを信頼する前に、少し時間をかけて検証することが重要です。
悪意のあるメールで探すべきこと
明らかに、フィッシングメールは、被害者を騙す可能性を最大化するために、できるだけもっともらしく見えるように設計されています。 ただし、悪意のあるメールを示すいくつかの警告サインがあります。
- 送信者アドレス: フィッシング詐欺師は、通常、信頼できる、または正当なメールアドレスのように見えるメールアドレスを攻撃に使用します。 送信者のアドレスにエラーがないか常に確認しますが、攻撃者が実際のアカウントを侵害し、それを攻撃に使用している可能性があることを忘れないでください。
- 挨拶: ほとんどの企業は、受信者を名前で宛ててメールをパーソナライズしていますが、フィッシング詐欺師は特定のメールアドレスに付けられる名前を知らない場合があります。 挨拶文が「お客様各位」など、過度に一般的である場合、それはフィッシングメールである可能性があります。
- トーンと文法: 多くの場合、フィッシングメールは正しく聞こえず、スペルや文法の問題が含まれています。 送信者にとってブランドイメージが違うと思われるメールは、おそらく悪意があるものです。
- リンクの不一致: パソコンでメール内のリンク先を確認するには、マウスでリンク先をホバーします。 リンクが本来あるべき場所に移動できない場合、メールは悪意のあるものである可能性があります。
- 奇数アタッチメントタイプ: フィッシングメールは、 マルウェアを拡散するためによく使用されます。 ZIPファイル、実行可能ファイル、またはその他の異常な「請求書」を受け取った場合は、マルウェアである可能性があります。
- プッシュ: フィッシングメールは、被害者に何かをさせるように設計されています。 メールが切迫感を煽ったり、特定のアクションを促したりする場合は、悪意のあるものである可能性があります。
メールセキュリティ意識の重要性
メールセキュリティの意識は、メール攻撃から組織を守るために不可欠です。 フィッシングメールの兆候、特に現在流行している口実や手法を認識するように従業員をトレーニングすることで、悪意のあるリンクをクリックしたり、添付ファイルを開いたりする可能性を減らすことができます。
また、フィッシングの疑いのあるメールを組織のITチームやセキュリティチームに報告するよう従業員に教えることも良いでしょう。 これにより、他の従業員がフィッシングに引っかかった場合に調査して対応することができます。
しかし、最高のトレーニングプログラムを持っていても、フィッシングメールが成功することがあり、多くの場合、メールソリューションに組み込まれているクラウドメールセキュリティ機能では攻撃をキャッチできません。 特殊なメール セキュリティソリューション に投資することは、これらの悪意のあるメールがそもそもユーザーに届くのを防ぐための良い選択です。