影響を最小化するためには

9月に米NIST(国立標準技術研究所)がランサムウェアリスク管理のためのサイバーセキュリティフレームワーク・プロファイルのドラフトを公表した。*6 このドラフトにおいても、”ソーシャルエンジニアリングについて従業員を教育する”といった取り組みの必要性が記されている。

例えば、正規の組織がメールなどを介して個人情報を求めてはこないということを知ることは重要なことである。日本であれば、内閣府がメールでマイナンバーを尋ねることは無いといったところだろうか。これ以外にも判断が曖昧な組織や情報の種別などは多くあるので、これらを明確にすることは有効な手立ての一つであると考えられる。

また、どれだけ注意深く警戒していたとしても、誤って悪意のあるリンクをクリックしてしまったり、悪意のある添付ファイルをダウンロードしてしまったりということは常に起こり得る可能性がある。

そこで、これらの状況に陥った場合に影響を最小化するためには、どのような方法があるのだろうか?

フィッシング詐欺やソーシャルエンジニアリングなどでしばしば窃取されているのは、ログインのためのIDやパスワードなどの資格情報である。そのため、窃取された情報のみでのアクセスを困難にするための手段として多要素認証(MFA)の導入が多くの場面で推奨されている。

実際、マイクロソフト社などはMFAを使用することを顧客にアドバイスすると共に、再販パートナーには使用することを要件として求めている。サイバー保険への加入などにおいても、しばしMFAの使用を尋ねられる。

未然に気付くことができたなら

以前であればフィッシング詐欺の文面も不自然な文面であることが多かったので、比較的気付きやすいものではあったが、最近では違和感の無いものとなっていることが多い。さらに、特定の個人に向けて文面を作成した、より巧妙な手口も目立ってきている。そのため、要求に応じる前に一呼吸おくことが重要である。

もし疑わしいメールなどに気付いたら、自社の適切な担当者に報告することをお勧めする。このような対応は組織によって必須で求めている場合もあるが、フィッシングなどが仕掛けられる場合、同僚も狙われていて同じようなメッセージを受け取っていることも多いためだ。

そのためにも、疑わしいメールに気付いた時だけでなく、万が一悪意のあるリンクを開いてしまった時でも、迅速に報告できるような風通しの良さと、誰に報告すべきかといったことを明確にしておくことが重要である。

GDPR(EU一般データ保護規則)などでも、データ保護のための施策として「技術的対応」と「組織的対応」の重要性について再三述べている。

つまり、サイバーリスクとは技術的な脆弱性にとどまらず、人的要因によってもたらされることも多々あるのだ。

今一度、人的な面からの組織における対応についても見直される機会とされたい。

出典
*1 https://www.voipfonestatus.co.uk/
*2 https://www.willistowerswatson.com/ja-JP/Insights/2021/08/crb-nl-august-adachi
*3 https://www.willistowerswatson.com/ja-JP/Insights/2021/06/crb-nl-june-adachi
*4 https://www.europol.europa.eu/newsroom/news/150-arrested-in-dark-web-drug-bust
-police-seize-%E2%82%AC26-million
*5 https://www.bloomberg.com/news/articles/2021-10-18/crypto-fraud-costs-more-than-
200-million-this-year-u-k-police
*6 https://nvlpubs.nist.gov/nistpubs/ir/2021/NIST.IR.8374-draft.pdf
 

本連載執筆担当:ウイリス・タワーズワトソン Cyber Security Advisor, Corporate Risk and Broking 足立 照嘉