フィッシングは、いま最も深刻なセキュリティ問題の1つです。隙につけ込むサイバー犯罪者、国が後ろ盾となっているハッカー、あるいはその中間に位置するあらゆる者たちにとって、フィッシングはよく利用される戦術となっています。単純なのに効果的である点も、企業にっとってはストレスの種となる理由かもしれません。Kayleigh O’Donovan(ケイレイ・オドノヴァン)は、2018年にエフセキュアが買収したMWR Infosecurity社のPhishdチームの一員で、フィッシングビジネスを理解することを仕事にしています。サイバーセキュリティサウナのエピソード25となる今回は、フィッシング詐欺師がいかにユーザーの心理をついてクリックに誘導するか、フィッシングメールをどう見分ければよいか、フィッシングシミュレーションを実施することで企業はフィッシングメールのクリック率をいかに減らすことができるかについて語っていただきました。
ALL EPISODES | FOLLOW US ON TWITTER
Janne: ようこそポッドキャストへ。
Kayleigh: お招きありがとうございます。
さて、フィッシングというのは、情報や認証情報やその他の秘密情報を提供するようターゲットを誘導したり、ペイロードなどを実行させたりするなど、何らかのアクションをするよう促すこと。そういう解釈でよろしいですか?
そうですね。誰かから本来取得してはいけないもの、つまり支払い、認証情報、アクセス権といったものを搾取しようとする不正な行為、とも言えますね。かつてはEメールを介したフィッシングが中心でしたが、今ではさまざまな亜種が存在します。たとえば、音声を利用したビッシングや、SMSを利用したスミッシングのほか、ソーシャルメディアフィッシングというのもあります。
そんなものまで?
そうです。現在大きな問題になっている手法として、Twitter、Facebook、Instagramなどに企業を中傷したり、論争の的になりそうなことを投稿したりする、というのがあります。するとその企業のマーケティング部門やPR部門の誰かが、その投稿の理由を知ろうと、リンクをクリックしてしまうわけです。
その組織の誰かがリンクをクリックせざるを得ない状況を作るということですね。
その通りです。この状況ですと、クリックする側の警戒心も緩んでいそうですよね。Twitterで自分の組織の悪口を言われているわけですから、ツィートの理由を突き止めることに精一杯で、セキュリティのことは意識から抜けてしまっているでしょう。
組織の中には他にも、フィッシングの最前線にさらされている人がいますね。たとえば人事部門は送られてきた履歴書を、営業部門は見積依頼書をクリックしなければなりません。
確かにそうですね。巧妙な攻撃者の場合、偵察活動の一環として請求書や注文書や履歴書のサンプルを入手して、人事部門の人などが思わず信用して開いてしまうような、本物そっくりなファイルを使って攻撃してくることもあります。
あなたのお話はかなり高度な攻撃についてですが、私たちのほとんどはフィッシング詐欺と聞くと、かつての419詐欺(外国人や海外在住の邦人を装う人物が金品を詐取する犯罪)のようなものが頭によぎると思うのですが、ああいったものは今もあるのでしょうか。それとも高度な攻撃ばかりなのでしょうか。
高度化と言えば、Eメール攻撃は確かに高度化しており、今後も進化していくでしょう。スパムメールに関しては、数量は増加していますけれど、それも組織や業種によって差があるようです。特に地域差は顕著で、地域の違いによって、スパムメール攻撃のされやすさにも違いがあるようです。
なるほど。しかし攻撃者の格好の餌食になっている人の数は依然として多いですよね。
確かにそうですね。
今日私たちが遭遇するフィッシングの中には、基本的な「ナイジェリアからの手紙」よりもずっと洗練されていて、真に迫ったものがありますね。どうやって本物と嘘を見分ければよいでしょうか。良い方法を教えてください。
良い方法は、送り主の意図を細かく吟味することです。これは緊急なのか、緊急ならその理由は何かを確認してください。たとえば突然、「直ちにこの金額をお支払いください」といったメールを受信したとします。通常は30日間の支払条件があるわけですから、私から見たら、これは赤信号です。たとえ送り主の名前が普段取引をしているベンダーやサプライヤーと同じであってもです。緊急性が強調されていればそれだけ、何かあやしいと思った方がよいでしょう。
その他にも、いきなり上の職位の誰かから来たメールは要注意です。普段取引があるベンダーの、いつもの担当者とは異なるはるか上の職位を名乗る誰かが、異なる口座への支払いを求めてきたりした場合、「いつも取引している、いつもの支払先」のように見えたとしても、ここは細かく注意する必要があり、取引先にフォローアップの電話を入れるなどして、その人物が本当に取引先の人かどうかを確認する必要があります。
時々、実際に取引がある企業からの請求書に「銀行口座が新しくなりました」などと記載されているのを見て、フィッシングかどうか迷ってしまうときがあります。企業側としても、自身がフィッシング詐欺ではないことを示すために、講じるべき対策があると思うのですが。
そうですね。私たちはビジネスとしての利便性とセキュリティを考慮した行動との間でバランスをとる必要があると思います。そのバランスというのは非常に微妙で、経験上、銀行口座などの変更があった場合、間違いがないかどうか再確認するのが普通です。このように相当の注意をもって行動することは、両方の当事者の責任であると思います。ですから銀行口座が変更される予定であることを前もって告げておくとか、複数の媒体を通じて変更のお知らせをするなどします。たとえばメールを送信する一方で、私たちにはまだポストというものがありますから、変更の詳細を説明する文書を郵送で送るとか、電話でのフォローアップもしてもよいでしょう。また、実際に請求書の支払いをする側の責任として、何らかの支払いをする前に口座情報が正しいことを確認するべきだと思います。
そうですね。私は非常に疑い深いので、電力会社から同じようなメールがきた時、電話をして「このメールはお宅が出したのか?」と確認してしまいました。こうしたフィッシングメールの餌食となったらどうなるでしょう。攻撃者は何を得ようとしているのでしょうか。
何でもアリです。これまでの話のように金銭的なもの、たとえば請求書の口座番号などを変更して、資金が直接攻撃者に流れるようにするとか、あなたのEメールのアドレス帳へのアクセス情報を取得して、アドレス帳に記載された連絡先に本物と見紛うようなフィッシングメールを送信できるようにするなどが考えられます。クライアント、同僚、サプライヤーなど、タイプの違う人々にも、あなたのアドレス帳1つあれば連絡できてしまうわけです。また、真のターゲットへ向けた攻撃の足掛かりにされてしまうこともあります。狙いが知的財産にしろ、金銭にしろ、単にサービスの妨害にしろ、フィッシングが出発点となる例は多くあります。
そうですね。よりスパム的なフィッシングによって、認証情報を取得したり、何らかのコードをマシン上で実行させたり、さらに高度な事が行われる一方で、コンピュータの領域外で支払処理をさせたり日々の業務に関連する何かを行わせたりなど、ターゲットに直接的な行動をさせる試みもあるようです。
その通りです。情報を送信させることもあります。かつて遭遇した興味深い事例としては、前述のようなアドレス帳の悪用があります。たとえばマーケティングのような部署の場合、アドレス帳にはさまざまな企業の情報が大量に記載されており、誰かがあなたのメールボックスにアクセスできるようになると、あなたになりすましてこれらの企業すべてにフィッシングメールを送信したり、アカウントを1つ開いておけば、ウォーターフォール効果によりさまざまな大量のメール間を移動したりできるようになります。
なるほど。つまり攻撃者の目的の1つは、さらなる攻撃を仕掛けるためにあなたをベクトルとして利用することである可能性があるわけですね。
そうです。サプライチェーン攻撃はまさに現実で、目下流行中です。
サプライチェーン攻撃とは興味深いですね。どの会社も、自分がサプライヤーや顧客やステークホルダーに対する攻撃ベクターにはなりたくないものです。それが起こらないようにするにはどうすればよいですか?
そうですね。対策は2つ、いや3つに要約できます。1つ目は当然のことながら技術的な面で、適切な技術的コントロールをすべて配備し、私たちがいつも推奨している予測、防止、検知、対応フレームワークに従うことです。2つ目は、セキュリティに関する認識やセキュリティ保護の文化を育むことです。そして、セキュリティ保護を業務遂行の一部に組み込み、人々に疑問を持つよう促し、それを実践するための自信と手段を与えることです。3つ目は、これらをプロセスとして配備し、疑問を持つことを通じて異常を特定することです。
多くの人々が、自分はフィッシングメールなどには騙されず、こうしたメールを見つけ出すことができると考えているようですが、実際そのようなことはあり得ますか。
確かにフィッシングメールに対する人々の認識は高まっていると思います。自分たちがフィッシングメールに弱いこと、それが大きな脅威であること、クリックする時に注意すべきであることも知っています。しかし誰もがフィッシングメールから逃れられるかと言えば、それは違うと思います。周到に時間をかければ、誰でも騙される可能性はあります。メールを3、4通送信すれば、まさに高度なフィッシングメールになり得ます。明らかにこれは高度な攻撃の範疇に入ります。一方で、人はよりスパム的な、あまり高度でない攻撃にも弱いものです。なぜなら常時100%の状態で気を張っていない限り、ミスをする可能性があるからです。当社は以前、社内で攻撃のシミュレーションを実施しましたが、その時には私も引っ掛かってしまいました。私は自分がフィッシングメールに精通していると思っています。毎日これを仕事にしているわけですし。それでも騙されたのですから、フィッシングに絶対引っ掛からないという人はいないと思っています。自分は絶対引っ掛からないと自負するのは甘いと思います。
そうですね。私も社内シミュレーションで餌食となりました。あの時、リンクをクリックした瞬間、「しまった」と思いました。私は、攻撃者が狙った通りの反応をしている自分に驚きました。私は焦っていましたし、この機会を逃してはいけないとも思いました。赤信号となるあらゆる感情がわいていることを認識していたのですが、それでもリンクをクリックしてしまった。まさに判断ミスでした。
分かります。私の場合、何かに不具合が生じたことを告げるメッセージが表示されました。私はすぐにパニックになり、ボタンをクリックして開こうとしましたが、開けません。私はボタンを押し続けました。そしてメールの送信元である同僚に電話をかけました。ボイスメールが応答したので、こう切り出しました。「ねえ、このリンクをクリックしたんだけど…あ!これフィッシングだわ!」(笑)受話器を置きましたよ。会社のフィッシング対策部門に働いているのに、「Kayleigh O’Donovan、クリック15回」という結果が出て、本当に恥ずかしかったです。(笑)何かおかしいぞ、と思ったときの不安と言ったら。感情的になって、頭が働きませんでした。何も考えられませんでした。
よく人は、「フィッシングメールに引っかかるのなんて、バカだけだよ」なんて言いますが、私は全くそうは思いません。何かを獲得できそうだ、または何かを失いそうだなどと感情的に揺さぶられると、時おり常識が頭から抜けて、感情的な行動をとってしまうものです。
同感です。ボタンを押してしまう時というのは、人として隙がある瞬間、つまりはっきりものを考えていない時とか、急いでいる時とか、気づいたら嵌まっているんですよね。
確かに。私たちが実施した調査によると、フィッシングメールをクリックしがちな時間帯は、昼休み中でした。空腹時や、逆に食べたばかりの時は、フィッシングメールに引っかかりやすいようです。これから何を食べようかとか考えている時や、ランチから帰ったばかりの時は注意力が・・・。
食後の眠気ですね。
ええ、そうですね。これの影響は甚大で、本来の注意力が大きく減退します。攻撃者は、それほど高度な手法を用いていなくても、マーケットリサーチとほぼ同様に、人々がどのタイミングでクリックしやすいかを把握できます。それほど多くのリソースは必要ありません。
そうですね。フィッシングは量でものを言わせてくるので、攻撃者はA/Bテストなようなものを実行して、何をどの時間帯に仕掛けるのが効果的かなどを試せるんですよね。
確かに。あくまで私見で事実とは言いませんが、誰がクリックして誰がクリックしないかといった、私たちが行っているようなリサーチは、敵もやっていると思います。
そうですね。ところで、フィッシングには、業界や業種で違いはありますか?ある業界では頻発して、他の業界ではあまり発生しないといった事例の差はあるでしょうか。
フィッシングの試みとしてメジャーなのは、DropboxやMicrosoftオンラインを装って認証情報を入力させるものです。これは、どの組織でも非常に類似しています。しかしさまざまなメールによるフィッシングに対する脆弱性は、業界全体で異なるようです。さきほど、外部からたくさんの文書を受け取る人事部門についてお話されていましたが、さまざまな外部プロバイダーや請負業者との取引がある企業は概して、悪意のある添付ファイルの被害を受けやすいと思います。たとえば、PR企業で数多くのフリーランス業者と仕事をしている場合、ファイルが添付されたEメールを大量にやり取りするでしょう。そうなると、開けてはいけない添付ファイルを開けてしまう可能性も上がるわけです。
何が効果的かを攻撃者に知られてしまうと、この種のフィッシングメールの標的になりやすいということですね。
まさにその通りです。そうなると狙われやすくなりますね。攻撃者にとって、それを知るのは非常に簡単なことだと思いますよ。もう1つ分かっていることとして、人は無料となると思わずクリックしてしまうというのがあります。高収入ぞろいの大手の金融組織であろうが、法律事務所であろうが関係なく、どんなに給料がよくてもコーラが一杯無料などと表示されると、決まってクリックしてしまいます。こうした類に対するクリック率は、たいてい非常に高いです。
もちろん業界によって微妙なニュアンスの違いはありますし、私たちもPhishdでの取り組みでは状況に合わせてカスタマイズしていますが、普遍的に効果を発揮するものもあります。
無料のコーラを見逃すメンタルでは金持ちになれないということでしょうね。フィッシングの密度についてはどうでしょうか。業界や業種によって、フィッシングの数量に差があるとか、この業界は被害を受けやすいという傾向はありますか。
金融サービスと法律サービスですね。
なぜ法律関連が?
吸収合併や知的財産権を扱っているので。
大金が絡むと。
そうです。ご存知の通り、企業スパイは本当にあります。どの企業がどの企業を、どのくらいの金額で買おうとしているかといった情報を知りたい人がいるのです。こうした情報は、特定の個人、特定のグループにとって非常に価値の高いものになります。
ほとんどの企業はおそらく収益を上げており、お金があることには変わりないと思うのですが、彼らも攻撃を受けているのでしょうか。たとえばお金を扱う部門などはどうでしょう?
確かに、お金を扱う部門はそうですね。財務部門は常に格好の標的となっています。情報を扱う部門もそうです。人の名前や、住所、メールアドレスなどこうした情報は今や非常に貴重ですから。英国の場合、公共セクターの組織への攻撃が多く見られますが、公共セクターは必ずしも金のなる木ではありません。しかしそこから得られる情報が、大金に匹敵する価値があるのです。
情報と情報を持つ人という点で言えば、ネットワーク管理者のような人は、情報の鍵を握るという意味で、狙われやすいターゲットになるでしょうか。それとも自分よりも技術に詳しいかもしれないということで、攻撃者は警戒してしまうでしょうか。
技術職の人に関して言えば、通常の人と同じくらい、フィッシングメールの被害を受けやすいと思います。技術に強ければ、フィッシングメールの被害にもあいにくいのではないかと、短絡的に考えがちですが、フィッシングメール自体はある種のソーシャルエンジニアリングですので、技術的な側面よりも、心理的な側面の方が強いのです。
私たちが以前に行った実験では、事前に偵察を行って、LinkedInからその人の役職や、何を担当しているかを調べました。投稿に「XYZネットワークを担当しています。趣味は自転車でチャリティツーリングをすることです」などと書いてあれば、まさに我々の思うつぼです。これを見て私たちは「よし、この人にはチャリティーツーリングや出身地のバーミンガムにちなんだシナリオを作って送信してやろう」と思うわけです。案の定、ファイルを開けましたね。彼らは、自分の趣味や出身地に関連するメールが悪意のあるものだとは思いもしません。これらの情報を自ら公開してしまっていることなど、頭から抜けてしまっているのです。
なるほど。オンライン上で公開している自分自身の情報について、フィッシングに利用されやすい情報は何でしょうか。
私たちはネット上にさまざまな情報を晒しています。Facebookは非公開かもしれませんが、Twitterなどでは世界の人々とコミュニケーションできます。そこでは情報を隠していないわけです。Instagramなどでは、位置情報が公開されます。位置情報サービスをオンにしていなくても、友人や家族の誰かによってあなたと特定の場所がタグ付けされて、そこからたとえばあなたがボーリングを趣味としていることが分かるかもしれません。となると、攻撃側はボーリングのクーポンを送ればいいわけですから簡単です。
顕著な例はLinkedInです。LinkedInに自分の役職を掲載して仕事について話すこと自体にセキュリティリスクがあるわけではありませんが、自分の職務の細かい部分まで晒しすぎてしまうと、攻撃者は容易にあなたになりすまして、たとえば他のスタッフに「この件の担当は私なので、私宛てにこの金額を送金してください」または「このデータを私宛に送信してください」などと依頼できてしまいます。また、あなたが何にアクセスできるかが簡単に分かります。特にあなたが技術者であれば、「XYZシステムを利用しています」と書いただけで、背中に大きな的を貼り付けているようなものです。
私たちは、ほんの数時間あれば、個人に関してかなりの量の情報を見つけることができます。今では出会い系サイトを見れば、プロフィール写真から逆検索してその人のソーシャルメディアのプロフィールに辿り着くことができます。ソーシャルメディアのプロフィールにアクセスできなくても、その友人や家族にアクセスできれば、その人物の全体像を捉えることができます。こうすれば、この人物に成りすますことも、この情報をもとにこの人物に近づき、先ほどお話した緊急性、権威、または希少性などをアピールしてだますことも簡単にできます。
確かに、攻撃者は心のレーダーに引っかかるような個人情報を使ってきますね。誰かから「君は覚えていないかもしれないけれど、僕は同じ学校の出身で、同級生だったんだよ」などというメールが来たら、「もしかしたら、そんな人もいたかも」と思ってしまいそうですが、そこで立ち止まって、このような情報は公になっているわけで、誰でも入手できることを認識する必要がありますね。
100%その通りです。何がその人物の琴線に触れるか、何がその人物の反応を誘うかは、容易に突き止めることができます。人は社会性のある動物ですから、グループを作りたがります。同じものを応援していると – 個人的にラグビーチームはあまりピンとこないので、ここではあえてホッケーを例に出しますが。(笑)
フィンランドじゃないのに。
同じホッケーチームを応援していると、自然とその人に親近感を抱いてしまうものです。そこで警戒心が緩んでしまい、その人と会話が弾んで重要な情報を明かしてしまう可能性が高くなります。表面上は、そうすることも悪いことではないでしょう。他者との交流は必要ですし、こうして私たちは発展し、社会を築いてきました。一方で、何か怪しいところはないか警戒することも重要です。それまでの流れを振り返って、コミュニケーションの意図は何だろうと考えてください。
そうですね。ところで、私が誰かをひっかけるためにフィッシングメールを作成するとして、先ほどあなたはいくつか赤信号になる点を指摘してくれましたが、できるだけ効果的で説得力のあるものにするためのチェックリストを挙げてくれませんか?
フィッシングメールを構築する際の着目点は大きく3つに分けられます。これは面白い試みですから、いつの日か実際にフィッシングメールを作って、その過程を皆さんにお見せできるといいですね。
お客様にも。
ええ、すごくいい案だと思います。ここでは、焦らせるための戦術、欲しがらせるための戦術、そして信ぴょう性を高めるための戦術を紹介します。焦らせるための戦術としては、緊急性や権威を押し出すか、もしくはその両方を組み合わせます。緊急性とはたとえば、「あなたは勤続3年目となります。今年は有給休暇を1日追加して取ることができます。しかし今週中に取得日を知らせていただく必要がありますので、このポータルにログインしてください」というように、嬉しがらせて行動を促すやり方です。権威を押し出すというのは、たとえば「xx会社の取締役のxxです。指定した金額を今すぐ送金して頂きたく、ご連絡いたしました」
なるほど。あまり待たせたくない相手ですね。
その通りです。次は欲しがらせるための戦術です。ここでは希少性をアピールします。「Xは限られた数しかありません。今すぐ登録して入手してください」-先ほどの無料のコーラの事例もこれに当てはまります。「このリンクをクリックして無料でコーラをゲットしてください。先着50名様のみ」-先着50名様と聞くと、特にコーラが飲みたくなくても、思わずクリックしたくなっちゃいますよね。
われ先にと。
手に入りにくいものほど人は欲しがるものですから。次は信憑性を高める方法です。すでに見たことがあるものに似ていたり、同じ商標が表示されていたり、同じ書式が使用されていたりすると、人は信じやすくなります。非常に興味深いことに、他の従業員の受信箱にアクセスできる人は、その受信箱の持ち主の言葉遣いまで模倣できるそうです。「よう、元気?」といった口調や署名の方法などを、実際に真似ることができるそうです。
これらが、フィッシングメールを作成する上での主要な要素となります。さらに、フィッシングメールは2つの視点から捉えることができます。1つは、よりスパム的な道をたどって、不特定多数の人が考えなしにクリックするようなメールを作成するやり方。もう1つは、より高度な道をたどって、「トラブルに巻き込まれないためにはこの行動をしなければならない」と思わせるようなメールを作成するやり方。
うーん。つまりメールユーザーとして警戒しなければならないことは、緊急性を感じたとき、今すぐ対応する必要があると感じた時、いきなり権力のある人からメールが届いた時、無料で楽しいことが提供されたとき、となりますね。
そうです。少しでも圧力を感じたら警戒すべきですね。テレビのコマーシャルでも「すごく売りつけられているな」と感じたり、思わず買ってしまいそうなマーケティングを目の当たりにすることがありますが、こういう時こそ相手の立場になって考え、綿密に調べて、その意図は何かを、確認する必要があります。
私自身メールを読む時、仕事にとって重要なトピックは別として、ほとんどの場合はスルーしてしまい、興奮したり、焦ったり、ハラハラしたりすることはありません。しかし今度からは1歩さがって、なぜそうしたメールが来るのかを考える必要がありそうですね。
そうですね。そしてご自身で調べてみるのも良いと思います。疑いの目をもってメールを見るのです。これは組織内部の人から来たものか、名前は組織図に載っているかどうかを確認したり、メールの送信元として記載されている会社に電話して、正当なメールかどうか、リンク先は正当なURLかどうかを確認したりするとよいでしょう。
フィッシングメールのシミュレーションは、こうした認識を高めたり、メール受信時にチェックする習慣をつけたりするのに役立つでしょうね。フィッシングシミュレーションはどれくらい成果を上げていますか?フィッシング対策サービスの開始からしばらく経って、感染数は減りましたか?
フィッシングシミュレーションは、人々の警戒心を維持する上で最も効果的な方法です。その証拠に、皆さんに向けてキャンペーンを開始し、テストして以降は、報告率が劇的に向上しました。
シミュレーションで送付されたフィッシングメールと実際のフィッシングメールに関する報告が集まったということですね。
そうです。クライアントからの報告率は前年度と比較して1400%上昇しました。
それは大幅増ですね。
大幅増です。それ以前は、「誰も報告してこないから、フィッシングなんて無いんじゃないですか」などとおっしゃっていましたが、それは完全な間違いだったということです。つまり、以前からフィッシングメールは届いていたけれど、どうやって報告すればよいか知らなかったから報告していなかったわけです。私がこのようにフィッシングシミュレーションに前向きなのは、人々の警戒を維持できると同時に、本物が来た時の訓練にもなるからです。これにより、何をすべきかを練習できると同時に、自分でメールの詳細を調べないにしても、報告の方法を知っておくことができます。
報告についての箇所に興味をひかれたのですが、当社は会社全体で攻撃シミュレーションを実施した際、その一環としてフィッシングメールを一部の従業員に送付しました。彼らの一部からは怪しいメールを受信した旨の報告がありましたが、実際にこちらが送付したフィッシングメールをクリックした人からは何も報告が上がりませんでした。よってITサービス部門は、フィッシングが発生している旨のチケットを受領していましたが、フィッシングをクリックした人からの報告が上がっていなかったので、そのチケットを無視してしまいました。もし彼らが報告を受けていたら、チケットへの対応は違ったものになったでしょう。ですからフィッシングメールを受信した時点で報告することと、メールに対して何を行ったかを報告することが重要です。
その通りです。私たちは前向きなフィードバックのやり取りを推進しています。誰かがフィッシングメールに関する報告をしたら、実際にこのメールによって何が起こったかをフィードバックすることが重要です。「ご報告ありがとうございます。このたびのメールはフィッシングではありませんでしたが、今後も是非ご連絡ください」であろうと「ご報告のとおりフィッシングメールでした。おかげで被害を未然に防ぐことができました」であろうと、何らかの時点で報告者にフィードバックする必要があります。そうでないと、せっかく怪しいメールを報告したのに、ブラックホールに吸い込まれたようにその後の経過がわからず、いずれ誰も報告しなくなってしまいます。
これはPhishdチームでも、行動科学の視点や防衛動機理論から注目している事柄です。決して新しいものではなく長く研究されている理論ですが、要するに「何か行動をしたとき、それによって何かが起こり、うまく機能し、それについて知ることができれば、人は再び同じ行動をする」ということです。
それがエンゲージメントであり、報告について双方向の対話が重要だということですね。フィッシングシミュレーションについて、その他に用いるべき指標やアプローチはありますか?
重要なのはコンテキストだと思います。クリック率についてはよく耳にしますが、3年前、我々はフィッシングに対する脆弱性を単純にクリック率だけで測定していました。今や、もう少し分析的姿勢を強め、コンテキストやより広い視点を適用する必要があります。フィッシングメールの前兆現象として何があったか、ごく普通の一般人がどうすればフィッシングを特定できるか、といった視点で物事を見る必要があります。つまり、メールがどれほど高度化しているかを等級分けする、ある種の枠組みが求められるということです。
そうですね。「今回のあなたのスコアは40点でした」という形はなく、「メールアドレスにホモグリフ(真正なサイトに酷似した異なる文字)がある時よりも、件名に注目している時の方が見逃す率が高いようです」というようにするべきですね。
そのとおりです。たとえば、「このメールは非常に簡単なフィッシングメールで、クリックした人は10%のみでした」とか、「これは非常に難しいメールで、クリックした人が40%いました」というようにすれば、能力の向上を追跡できます。なぜなら2通目のメールの難易度は1通目よりもはるかに高いわけですから。私たちはチェックボックスのみに注目して「これだけの数の人がメールをクリックしました」と言いたいのではありません。「これだけの数の人が、かなり高度なフィッシングメールを特定できるようになりました」と報告することを目指しています。
なるほど。これによって、組織内のさまざまな人々やグループを、さまざまなレベルでトレーニングすることができますね。フィッシングのリスクにさらされている第一線で働いている人は、組織内の誰よりも高いレベルの対応力を維持する必要があります。
100%その通りです。私たちは、標的になりそうな人々に対して、的を絞ったトレーニングをすることも、知識ギャップやアクションギャップに応じたトレーニングをすることもできます。最初の基準線を引いて、人々のフィッシングメールを特定する能力がどこに位置するかを見極めることで、特定のユーザーグループのKPIを識別できるとともに、そのユーザーグループに合わせてカスタマイズしたトレーニングを展開できます。
なるほど。それぞれが苦手としている分野や、前兆をつかみづらいと感じている分野に絞ってトレーニングすることもできるわけですね。
はい、その通りです。たとえば、なりすましメールアドレスを使用してメールを送信し、それがなりすましであることを見抜けなかったユーザーの人数を調べます。そうすると、この問題に対応したトレーニングモジュールを作成して、提供することができるわけです。
つまり、一般的な「フィッシングに注意しましょう」といったトレーニングではなく、「フィッシング攻撃者はこうしてくるので、こうした点に注意しましょう」と言えるわけですね。
その通りです。
企業で働く者として、フィッシングのリスクは個人ではなく企業の方にあると思ってしまうのですが、人々がフィッシングについてあまり真剣に捉えないのは、こうした要素も関係していると思いますか?
それは非常に面白い質問ですね。サイバーセキュリティはこれまで、「これは私の問題ではない」とないがしろにされてきたように思います。IT部門の問題であり、セキュリティ部門の問題であると。それが大きく変わりつつあります。
健康や安全性に関しても、20年から30年前はあまり真剣に意識されておらず、仕事の妨げになるものとされていました。また、正しいハシゴの使い方や、重い箱を持ち上げる方法に関するデモンストレーションを30分かけて見たいという人は誰もいませんでした。一方、現在では、正しい姿勢を維持するためのスタンディングデスクや、人間工学的設計のマウスが導入されています。個人用保護具を身につけることは、私たちの権利であり、義務でもあります。必要に応じて安全靴とヘルメットを装着すべきであり、組織は従業員の健康と安全に対して責任を持つ必要があります。私たちは民間人としてこの権利を勝ち取ってきました。
これと同じことが今、サイバーセキュリティの世界で起こっています。GDPR(一般データ保護規則)の導入と、最近のセキュリティ侵害やランサムウェア攻撃に関する報道の過熱により、人々が組織に対してサイバーセキュリティやデータ保護について真剣に考えるよう求めていることが浮き彫りになりました。従業員の視点からしても、顧客としての視点からしても、私たちはデータの漏洩を望みません。
時には、「誰かに私の情報が漏れたとして、それがどうだというんだ?」という人もいますが、なりすまし犯罪などは、お分かりのとおり、発生すれば一大事です。他人があなたのふりをして、すべきでないことをしてしまうのですから。彼らはあなたをだまして大金を送金させようと狙っています。それで収拾のつかない事態が起こったら、誰がその責任を負うのでしょうか。あなたのニーズに対応せず、オンライン詐欺を見抜く訓練をしなかった会社の怠慢でしょうか。もしくは仕事をするときに相当の注意と配慮をしなかったあなた個人の責任でしょうか。
個人も責任を問われる可能性があるわけですね。
ええ、おそらく。オンライン詐欺に引っかかってしまった結果に対して、その個人が責任を負うべきかどうかは、間違いなく議論の余地があるトピックだと思います。
つまり、従業員がセキュリティ意識向上トレーニングの実施を求めたり、パスワードマネージャーや多要素認証のようなツールを要求したりすることは、訴訟から自分を守るためにも得策であると言えるわけですね。
その通りです。もちろん、組織が従業員に関する情報を保護することも重要です。従業員の自宅の住所のような秘密情報はファイルに保管されているわけですが、会社外の誰かから送付されたメールにあなたの自宅住所が記載されていたら、どう感じるでしょうか。
これまで、何か大きなトラブルはありましたか?これぞという苦労話があれば聞かせてください。
そうですね。聞いたところによると、受付担当者のもとにCEOを名乗る人からメールが届き、近所のWH雑貨店に行って1000ポンド分のiTunesギフトカードを購入し、店内ですべてのスクラッチをはがして写真に収めて送信しろと指示されたということです。
それを実行したんですか?
実行したんです。(笑)
それはひどいですね。
明らかに通常の業務ではないですよね。
そうですね。
きっと焦らせる戦術を用いた、説得力のある言い回しだったに違いありません。非常に高い役職という権威を利用して、命令するわけです。もっと微妙なところでは、営業の人がよくターゲットになるのですが、誰かが請求書の口座番号を変更してリベートを求めてきたという事例があります。こうした事例はたいてい、メールアドレスは本人のもので、請求書も本物そっくり、口座番号のみが異なるので、非常に見分けづらいものです。
私にとって驚からせることが2つありました。1つはシンプルなフィッシングにもいまだに騙されている人がいるということと、もう1つはより厄介なものとして、攻撃者が組織のメールシステムに入り込んで、送信者になりすますことができるという事実です。たとえばあなたと私との間で6か月前に交わされたメールがあったとします。その最後のメールの返信として、「ところで、この件に関連するリンクを送ります」などと記載した場合、これは実際に交わした会話の続きなのですから、迷わずクリックしてしまいますよね。前のメールを送ったのは僕であることは分かっているわけですし、今回はそうではないと見分けるには、どうしたらいいんでしょうか。
それはほとんど見分けるのが不可能な事例じゃないかと思います。このような場合、セキュリティ意識向上トレーニングを補完するその他の部分、すなわち検知と対応に着目することが重要になります。
その通りですね。こんなところでしょうか。本日はありがとうございました。
ありがとうございました。
カテゴリ