こちらのnoteは、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字起こししご紹介しています。
バラクーダネットワークスジャパン株式会社は7月16日、「バラクーダの注目する脅威:メール攻撃と受信の防御」についての調査結果を発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】インシデントの発生源として多く挙げられるメール攻撃のパターンについて発表されています。メールを媒介した脅威の傾向と対策について説明します。
今回の調査結果は3500社の企業を対象にメール攻撃の脅威と対策について発表されています。従業員数が平均的な約1100人の企業では、月に15件のメールにかかわるインシデントが発生しており、平均10人の従業員がフィッシング攻撃の影響を受けているということです。また、悪意のあるメールのリンクは従業員の3%がクリックしており、それによって企業全体が攻撃にさらされているとのことです。
フィッシングとは、メールなどを通じて攻撃者が用意したWebサイトへ被害者を誘導し、重要な個人情報を窃取する攻撃です。被害者を吊り上げる行為で魚釣りの「fishing」などから作られた造語です。メールの本文も高度に作りこまれており、本物のメールと見分けがつかない場合があります。
メール攻撃の対策として、従業員へのトレーニングが挙げられていますが、わずか2回のセキュリティ意識を向上させるトレーニングの実施で、従業員から報告される疑わしいメールの精度が73%も向上したということです。
メール関連のインシデントが減らない理由の一つとして、メール攻撃に必要な情報はメールアドレスのみであることと、攻撃が成立する条件が、メールのリンクや添付ファイルを受信者がクリックするか否かにかかっていることです。
相手のメールアドレスを知っていればメールを送信することができます。迷惑メールのフィルタにかからず、メールボックスに受信されてしまえば、メールが開かれる可能性が発生します。そして、メールが巧妙に作りこまれており、本物と信じてしまった受信者がメールのリンクや添付ファイルをクリックしてしまうだけで、攻撃が成立してしまう場合があります。最後のトリガを引くのは「人」です。
一方、Webサーバを攻撃しようとすれば、攻撃者は何らかの脆弱性がWebサーバで悪用できないか探す必要があります。推測できるパスワードが使われていたり、深刻度の高い脆弱性が放置されていたりすると、攻撃が成立してしまう場合があります。最後のトリガを引くのは「脆弱性」です。
人と脆弱性を比較した場合、脆弱性は正しく修正すれば再発することはないのに対して、人の弱さは完全に修正することは困難です。よって、人にかかわるインシデントが再発してしまい、メール関連のインシデントが減らないことにつながっているのではないかと考えられます。
メールの利用についてセキュリティの意識を向上させるためには、標的型攻撃のメール訓練が有効です。理由は、従業員へ常に標的型攻撃ではないかという意識を持たせることと、標的型攻撃のメールを受信した場合の行動について事前に整理することができるからです。
標的型攻撃とは、特定の個人や組織を狙ったサイバー攻撃です。時間をかけて被害者を信頼させ、最終的にはマルウェアを実行させることにより、機密情報へアクセスを試みます。最近はメールだけではなく、SNSを通じてターゲットとなるい被害者へ近づくインシデントも増えてきました。
定期的に標的型攻撃のメール訓練を行うことで、従業員が常にアンテナを張った状態を維持してくれる可能性があります。メール訓練でクリックを繰り返すうちに、失敗から学んでもらうことが期待できるのではないでしょうか。また、メール訓練で仮にマルウェアをクリックしてしまった場合に、速やかな初動対応が取られるかは、標的型攻撃の被害を最小限に抑える上では重要です。有事の際に従業員が正しい行動を取られるかどうかは「防災訓練」と同様に強く求められます。
標的型攻撃のメールをすべて見抜くことは極めて困難です。だからこそ、いかにメールを利用する人の意識を向上させるかが、メール攻撃への有効な対策の一つになります。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
