電子メールによるフィッシング攻撃からビジネスを守る方法

サイバー犯罪は今や、企業が日々直面する多くの懸念事項の一つとなっています。テクノロジーは多くの企業にとって発展の主軸となっていますが、デジタル面が企業の運営や日常活動にとってより重要になるにつれて、この環境での攻撃の増加も同様に重要になっています。.

One of the most common means for hackers to gain access to the private information of individuals and companies is through email. E-mail is one of the most used channels by companies and individuals to share information on a daily basis. It’s incredible how much information is sent through email every day and how much of that data contains private or delicate information. Suppose you want to prevent your company from suffering a phishing attack due to an oversight in the correct use of email. In that case, this article will provide you with valuable information to prevent and provide greater security to your company. 

まず、フィッシングとは何ですか？

Phishing is a type of social engineering where the hacker tricks a user into doing “the wrong thing”, which usually includes disclosing information or clicking on a malicious link. Phishing can be conducted via social media, text messages, or even by phone. However, nowadays, emails have been the most common channel for perpetuating this type of attack. Email is an ideal delivery method for phishing attacks because most people check their emails in a rushed manner. In addition, these malicious emails are very easy to camouflage among legitimate emails.

フィッシングは企業にどのように影響しますか？

どのようなタイプや規模の組織でもフィッシングメールによって被害を受ける可能性があります。情報の盗難に加えて、フィッシングメールはマルウェア（ランサムウェアを含む）をインストールしたり、システムを破壊したり、詐欺を通じて金銭を盗んだりすることがあります。さらに、サイバー攻撃はあなたの評判を損ない、顧客の信頼を失わせる可能性があります。大量キャンペーンに巻き込まれることもあります。これは攻撃者がパスワードを盗んだり、簡単にお金を稼いだりする時で、通常は会社に対するより大きな攻撃（例えば機密データの盗難）の第一歩です。ターゲットを絞ったキャンペーンでは、攻撃者は従業員に関する個人情報を使用して、より現実的で説得力のあるメッセージを作成することがあります。これはスピアフィッシングとして知られています。.

なぜフィッシング攻撃は成功するのですか？

Hackers have studied people’s online behavior very well, they know how people’s social instincts works, such as being helpful and efficient. Phishing attacks can be particularly powerful because these social instincts also make us good at our jobs.

フィッシング攻撃から守る最も効果的な方法は、技術、プロセス、人に基づくアプローチを組み合わせて利用することです。例えば、疑わしいメールを報告してもらいたい場合は、それを簡単に行えるようにする必要があります。つまり、メールを報告するための技術的手段を提供し、報告に対してタイムリーなフィードバックを提供するプロセスを整備することを意味します。.

フィッシング攻撃からビジネスを守る方法は？

会社をメールフィッシング攻撃から守るための専門家によるステップを以下に示します：

防御を広げる：

Typical defences against phishing rely on users’ ability to detect phishing emails. By widening your defences you can improve your resilience against phishing without disrupting the productivity of your employees. You will also have multiple opportunities to detect a phishing attack and act before it can cause big damage to your company. Also, it is essential to embrace the fact that some attacks will get through, which you can use as an advantage to plan ahead and minimise the damage caused.

セキュリティプランを開発する際には、防御を4つの層で考えることができます：

• Don’t let your email addresses be a resource for hackers.
• ユーザーが潜在的に有害または詐欺的なメールを特定し報告するのを助ける。.
• 検出されないフィッシングメールから組織を守る。.
• できるだけ早く解決するために、インシデントに迅速に対応することが重要です。.

以下では、これらの層それぞれを説明し、それをビジネスにどのように適用するかを説明します。. 

層1：ハッカーがユーザーに到達するのを難しくする

最初の層は、ハッカーがエンドユーザーに到達するのを難しくする防御を説明します。.

Don’t let hackers use your email addresses as a resource

攻撃者は、他の人（例えば、従業員や自分自身）になりすましてメールを送ることで人々を騙すことができます。これらの偽装されたメールは、顧客や組織内の人々に届く可能性があります。.

これを防ぐにはどうすればよいですか？

メールアドレスを保護し、ハッカーがアクセスするのを防ぐために、DMARC、SPF、DKIMなどのアンチスプーフィングコントロールを使用できます。さらに、連絡先にも同様の対策を奨励することが非常に有用です。.

オンラインで利用可能な情報を減らす

The online public information of your company is known as a “digital footprint” and includes all the public information you post on social media and your website. Including the one your employee posted.

これに対して何ができますか？

Don’t provide unnecessary details; beware of the information your partners, contractors, and suppliers give about you in their organization’s online communication and work with your employees to minimize security risks. Educate your staff on how sharing their personal information can affect them and the organization, and develop a clean digital footprint policy for all users.

受信フィッシングメールをフィルタリングまたはブロックする

フィッシング攻撃の試みをユーザーに到達する前にフィルタリングまたはブロックすることで、被害の可能性を減らします。さらに、ユーザーが疑わしいメールを確認し報告するために必要な時間も減らします。.

これをどうやって行いますか？

クラウドベースのフィルタリング/ブロックサービスを取得し、フィッシングやマルウェアを含むすべての受信メールをユーザーに届く前にブロックします。取得するサービスがすべてのユーザーをカバーしていることを確認してください。受信メールについては、送信者のアンチスプーフィングポリシーを尊重する必要があります。送信者が拒否ポリシーを持つDMARCポリシーを持っている場合は、要求に従ってください。さらに、メールはIPアドレス、ドメイン名、メールアドレスのホワイト/ブラックリスト、公開スパムおよびオープンリレーブラックリスト、添付ファイルの種類、マルウェア検出など、さまざまな方法でフィルタリングまたはブロックできます。.

層2：ユーザーが疑わしいフィッシングメールを特定し報告するのを助ける

この層は、スタッフがフィッシングメールを見分けるのを助け、報告文化を改善するための最良の方法を説明します。.

よく実行されたフィッシングトレーニングプログラムは違いを生むことができます

One of the most emphasized methods regarding phishing defence is your train your users, they can provide a valuable contribution to your organization’s safety. However, humans can make mistakes, that’s why it is crucial to provide a holistic approach with appropriate technical mitigations and changes to the wider security culture of the organization. 

これをどうやって行いますか？

スタッフはフィッシングメッセージを見分けるのが難しいことを知っておく必要があり、常にそれを特定することを期待していません。代わりに、何かがおかしいと感じたときにガイダンスやサポートを求めることができるマインドセットを育むことが重要です。.

フィッシングメールを見分けるのに苦労しているユーザーを決して罰しないでください。ハッカーはプロフェッショナルであり、人々を騙す方法を知っています。トレーニングは、従業員の自信と将来のインシデントを報告する意欲を向上させることを目的とすべきです。.

ユーザーがフィッシングの結果を理解し、実際の例や具体的なケーススタディを提供し、人々を圧倒しないようにします。.

フィッシングメールを受け取る可能性が高いスタッフと協力します。例えば、顧客対応部門、財務部門、またはITスタッフはハッカーにとってより興味深いです。スタッフがリスクを認識し、追加のサポートを提供することを確認してください。.

ユーザーが詐欺的な要求を認識しやすくする

攻撃者はユーザーを誤解させてパスワードにアクセスしたり、無許可の支払いを行ったりします。攻撃者が模倣しやすいプロセスを考慮し、それらを改善し見直すことで、これらのフィッシング攻撃を見分けるのが容易になります。.

これをどうやって行いますか？

関係者全員がプロセスに精通し、異常な活動を認識する準備ができていることを確認してください。.

重要なメールリクエストがテキストメッセージ、電話、または対面などの第二の通信手段で確認される二要素認証を実装します。ファイルを共有するためのもう一つの方法は、アクセス制御されたクラウドアカウントを通じて行うことで、メールに添付ファイルを避けることができます。.

Consider telling your suppliers or customers what they should look for, such as “we will never ask you for your password or bank details”.

ユーザーが必要なときに助けを求めることを奨励する

良い報告文化を築くことで、ユーザーが助けを求めやすくなり、組織がターゲットにされているフィッシング攻撃の種類に関する重要な情報を提供します。また、フィッシングと混同されているメールの種類や改善点を学ぶことができます。.

これをどうやって行いますか？

Create an effective process for users to report when they think phishing attempts might have passed your organization’s technical defences. Ensure the process is clear, simple and convenient.

どのような行動が取られたかについて迅速かつ具体的なフィードバックを提供し、彼らの貢献が違いを生み出し、役立つことを明確にします。.

非公式のコミュニケーションチャネルを利用して、スタッフがトピックについて話し、サポートやガイダンスを求めやすい環境を作る方法を考えます。.

フィッシングに関する罰や非難を重視した文化を作らないようにします。.

層3：検出されないフィッシングメールの影響から組織を守る

この層は、検出されないフィッシングメールの影響を最小限に抑える方法を説明します。.

デバイスをマルウェアから保護する

マルウェアはメールや偽のウェブサイトに隠されていますが、メールがクリックされてもマルウェアのインストールを防ぐようにデバイスを設定できます。.

マルウェアをどうやって避けることができますか？

攻撃者が脆弱性を探るのを防ぐ一つの方法は、サポートされているソフトウェアやデバイスを使用し、ソフトウェア開発者、ハードウェアサプライヤー、ベンダーの最新バージョンで更新を維持することです。.

管理者アカウントの使用を必要なスタッフに限定します。ただし、管理者アカウントを持つ人は、メールを確認したりウェブを閲覧したりするためにそれらを使用しないようにします。.

マクロの無効化、アンチマルウェアソフトウェア、アンチウイルスなど、マルウェアに対する他のセキュリティ防御を検討します。ただし、異なるデバイスに適したマルウェア防御の種類を確認する必要があります。.

ユーザーを悪意のあるサイトから保護する

悪意のあるウェブサイトへのリンクは常にフィッシングメールの最も重要な部分です。ただし、リンクがウェブサイトを開くことができない場合、攻撃は完了しません。.

これをどうやって行いますか？

最新で更新されたソフトウェアは、マルウェアを含むウェブサイトをブロックします。ただし、このオプションはモバイルデバイスでは常に利用可能ではありません。.

組織は、社内またはクラウドでプロキシサービスを実行し、マルウェアやフィッシングキャンペーンをホストしていると特定されたウェブサイトへのアクセスを試みることをブロックする必要があります。.

より強力な認証でアカウントを保護する

ハッカーは常にパスワードを狙っています、特に機密情報、金融資産、ITシステムへのアクセス権を持つアカウントのパスワードを狙っています。ログインプロセスをフィッシングに対してより強固にし、機密情報への特権アクセスを持つアカウントの数を制限してください。.

これをどうやって行いますか？

二要素認証（2FA）または二段階認証を有効にします。第二の要素があることで、攻撃者は盗まれたパスワードを使用してアカウントにアクセスすることができません。.

パスワードマネージャーを使用します。これらの一部は実際のウェブサイトを認識し、偽のウェブサイトでは自動入力しません。これにより、偽のウェブサイトにログイン情報を提供することを避けることができます。さらに、デバイスが実際のウェブサイトを認識して自動的にサインインするシングルサインオンメソッドを使用できます。これらの2つの技術は、パスワードを手動で入力することを避けるため、サイトがユーザーにパスワードを入力するよう要求するのは異常です。.

生体認証やスマートカードなど、盗まれにくい代替ログインメカニズムを使用することを検討してください。.

もはや使用されていないアカウントを削除または一時停止します。.

層4：インシデントに迅速に対応する

すべての組織は、いつかサイバー攻撃を経験するでしょう。これを認識し、事前に計画を立ててすぐに反応することが、最も深刻な結果を避けるために重要です。.

インシデントを迅速に検出する

インシデントを早期に知ることで、その被害を制限することができます。.

これをどうやって行いますか？

セキュリティモニタリング機能を持つことで、ユーザーが気付いていないインシデントを検出できます。ただし、これはすべての組織に可能ではないため、受信したメールの履歴、アクセスしたウェブアドレス、外部IPアドレスへの接続などのログを収集することから始めることができます。この情報を収集するために、クラウドセキュリティパネルなどの市販サービスに組み込まれたモニタリングツールを使用するか、社内チームを構築するか、管理されたセキュリティモニタリングサービスにアウトソースすることができます。収集する量と保存する量は予算に依存します。これを行ったら、効果を維持するために最新の状態に保つことを確認してください。.

インシデント対応計画を持つ

あなたや従業員の誰かがフィッシング攻撃を発見したら、できるだけ早く被害を防ぐために何をすべきかを知る必要があります。.

これをどうやって行いますか？

組織内の誰もが異なるタイプのインシデントの場合に何をすべきか、その責任と方法を知っていることを確認してください。計画が組織の法的および規制上の義務に準拠していることを確認してください。インシデント対応計画は、手順と役割に精通していることを確認するために事前に練習する必要があります。.

最後の考え

結論として、フィッシング攻撃は個人や組織に深刻な影響を与える可能性があります。これは一つの解決策で解決できる問題ではなく、さまざまな防御層を実装することが重要であることを忘れないでください。これには、安全なメールゲートウェイやプロキシサービスの使用などの技術的手段や、フィッシングの試みを認識するための従業員教育のための定期的なユーザートレーニングが含まれる場合があります。最後に、攻撃が発生した場合に備えて対応計画を準備することが、被害を最小限に抑え、迅速に回復するために重要です。.