ソーシャルエンジニアリング計略を認識し回避する

われわれには皆それぞれやるべき仕事があり、サイバー犯罪は必ずしも優先順位が最も高い問題ではありません。多忙な日には、うっかり不適切なリンクをクリックしたり、不適切な電子メールに対応したりして、図らずもサイバー犯罪の被害者になりがちです。

残念ながら、情報漏洩は大きな損失を生みます。IBMが2018年に実施した調査によれば、「世界的に見て、データ侵害の平均コストは前年を6.4%上回り、386万ドルに達している」ということです。

サイバー犯罪者が使用するソーシャルエンジニアリング戦術を意識することが、またシンプルなベストプラクティスに従うことが、情報漏洩を回避する手立てとなります。

 

フィッシング

多くの場合電子メールで送られる公式メッセージを装った悪意のあるメッセージをユーザーが疑いもなく開くか伝達することで、フィッシング攻撃が生じます。よく見られる攻撃のひとつは、自分の銀行や大手小売業者から送信されたように見える電子メールです。このような電子メールは、自分の口座が侵害されているか、購買していないものに対し請求が行われていると受信者に考えさせるように仕向けたものかもしれません。多くの場合、被害者は悪意のあるリンクや電子メールの添付ファイルをクリックしてしまい、それによりユーザーのコンピュータが感染してしまいます。

被害者になるのを回避する方法は案外シンプルで、勝手に送り付けられた電子メールには絶対に対応しないことです。その電子メールが本物であると考える場合には、必ず他のコミュニケーション方法(その会社の実際のウェブサイトにある電話番号を使うなど)を使用して送信者と接触するようにしてください。フィッシング被害にあったと考える場合には、その攻撃をITセキュリティ部門に必ず報告してください。

 

標的型フィッシング

あなたが上級管理職である場合、または会社の取引を扱っている場合、標的型フィッシングまたはスピアフィッシングにあうリスクがあると考えられます。スピアフィッシングでは、特定の個人が何を行っており誰と共に業務を行っているかを知った後、その人が標的とされます。

FBIによれば、「ビジネス電子メール詐欺」により約23憶ドルの損害が生じています。このような詐欺では、犯罪者は上級役員の電子メール受信トレーのセキュリティを侵害し、その中にある情報を使用して、他の従業員を電信送金させるように誘導します。

このような標的型詐欺は、あなたが想像するよりも多く広く発生しています。最近の例をいくつか挙げます。

予防についても、同じルールが適用されます。勝手に送り付けられた電子メールには、それがどんなに緊急を装っていても、自動的に対応しないこと。何らかの行動を取る前に、必ず真偽を独自に確認してください。

 

ボイスフィッシング

その名称が示すように、ボイスフィッシングには詐欺電話が関与します。標的型フィッシング電子メールと同様に、犯罪者は被害者のリサーチを行い、その後、社内従業員、ビジネスパートナー、または政府職員を装って被害者を誘導し、機密情報を明かすか支払いをさせようとします。

2012年から2016年の間に、米国人15,000人が電話詐欺により数億ドルを失いました。このような詐欺電話は、よくある口実を使って国税庁を装い、「追徴税」を脅し取ろうとしたり、逮捕をほのめかします。

フィッシング電子メールと同じように、電話でも疑わしいと感じる場合は、おそらくその通りです。絶対に電話の真偽を確認することなく情報を開示したり金銭を支払わないでください。

 

メディアドロッピング

「景品くじ」で無料USBドライブが当たったと考えてください。または、なくしたSDカードをたまたま「見つけた」とします。もう一度考えてみましょう。犯罪者はメディアドロッピングにより被害者に企業のPCにプラグインさせることで企業ネットワークへの潜入を試みることが知られています。

絶対に許可されていないデバイスをコンピュータに接続しないでください。疑いがある場合には、ヘルプデスクに連絡し、疑わしいデバイスは必ずIT部門に届けてください。

 

共連れ

共連れでは、他人の認証情報を使用してセキュリティ保護された職場領域に侵入します。犯罪者はあなたが自分のIDをスワイプした後にあなたについてセキュリティ保護された領域に入るか、中に入れるようにあなたに話しかけるかもしれません。

自分の認証情報を使用して他人をセキュリティ保護された建物に入れることは、企業のポリシーに反します。中に入れるように誰かに頼まれた場合には、受付まで丁寧に案内してください。