組織がどれだけハイテクなセキュリティ対策を講じていても、サイバーセキュリティに関して言えば、最大の弱点は従業員である可能性があります。従業員が故意に行動しているわけではありませんが、悪意のある勢力に騙されているのです。これはソーシャルエンジニアリングと呼ばれ、犯罪者が標的を攻撃する際に用いる主要な手法の一つです。
ソーシャルエンジニアリングは完全に心理学的な手法であり、人間の過ちを悪用します。この戦術を用いる者は、人間を欺いて個人情報を漏洩させようとします。これは非常に効果的な戦術であり、犯罪者は組織が多大な費用をかけて構築するセキュリティフレームワークを完全に回避して標的を攻撃できることを意味します。一般的なソーシャルエンジニアリングの戦術には、以下のようなものがあります。
フィッシング詐欺
おそらく最も一般的なソーシャルエンジニアリングの手法であるフィッシングは、その効果の高さゆえに、残念ながら非常に蔓延しています。フィッシングの基本的な手口は、何も知らない従業員を騙して個人情報を漏らさせたり、偽装された疑わしいリンクをクリックさせたりすることです。
親しみやすさの悪用
この手法では、犯罪者は標的の知り合いになりすまします。知り合いの同僚の名前と写真を使って偽のアカウントを作成し、標的にメールを送信します。標的は偽装者に気付かなければ機密情報を漏らしてしまう可能性があります。また、実際に会う機会があれば、組織内の人物と会話を交わし、知り合いになり、親しくなるように仕向けることもあります。
共連れ
ソーシャルエンジニアリングの一般的な手法である「テールゲーティング」とは、建物内への不法侵入を指します。組織はテールゲーティングを積極的に防止しようとしますが、犯罪者はソーシャルエンジニアリングの手法を用いて、さらに踏み込んだ行動を取ることがあります。人間には他人を敵視しないという本能的な性質があり、それを悪用して、特定のエリアへの立ち入りを強要することがあります。
犯罪者は太古の昔から人間の行動を悪用してきました。したがって、ソーシャルエンジニアリングは新しい戦術ではありません。変化したのは、データが王様である現代の情報化時代に適応するために、同じ戦術が微調整されてきたことです。ソーシャルエンジニアリング攻撃を防ぐには、以下のアドバイスが役立つかもしれません。
ソーシャルエンジニアリングへの意識 – 組織の従業員が何に対抗すべきかを正確に理解していない限り、彼らにそれを防御させようとしても無駄です。例えば、多くの従業員は「ソーシャルエンジニアリング」という言葉の意味さえ知らないかもしれません。したがって、ソーシャルエンジニアリングを認識することが常に最初のステップです。セキュリティチームは、従業員がソーシャルエンジニアリングとは何か、そしてどのように防御すべきかを認識できるよう、ソーシャルエンジニアリングに関する意識啓発セッションを定期的に実施する必要があります。
厳格な情報セキュリティポリシーを維持する – これらは、物理的セキュリティとデジタルセキュリティの両方に適用されるべきです。例えば、企業は、車内での同乗を防止するためのアクセス制御とシステムの使用方法について厳格なポリシーを策定する必要があります。デジタルの観点からは、従業員が情報提供の要求にどのように対応すべきかを規定するポリシーを策定し、厳格に施行する必要があります。また、コンプライアンスを確保するための監視も必要です。
フィッシング対策 – フィッシングはソーシャルエンジニアリング攻撃の最も一般的な形態であるため、組織はサイバーセキュリティソリューションにフィッシング対策を導入することが重要です。この点において、Seqriteのエンドポイントセキュリティおよび統合脅威管理ソリューションは、フィッシング攻撃がネットワークに侵入する前に阻止することで、フィッシング攻撃からの保護を提供します。
定期的な監査を実行する – サイバー攻撃への耐性をテストするために、定期的な監査を実施することが重要です。組織は、ソーシャルエンジニアリング攻撃への対応状況を確認するための専門的な監査の実施を検討すべきです。その結果を定期的に監査することで、組織の準備状況を評価するべきです。
お客様のビジネスのITセキュリティパートナーとして、 セクライト 高度なサイバー脅威から包括的なセキュリティを提供します。詳細はこちら
