組織内のフィッシングの脅威を軽減する方法

悪役の観点から見ると、フィッシングは組織や個人情報に侵入して利益を上げる最も安価で簡単な方法です。本質的に、人間は好奇心旺盛で、セキュリティに関しては自信過剰になりがちです。フィッシングはモバイルユーザーにとってもさらに大きな脅威です。リンクにカーソルを合わせてリンク先を特定する機能など、重要な視覚的手がかりがなければ、ユーザーは不正なリンクをクリックしてフィッシングの被害に遭うという単純なミスを犯しやすくなります。ソーシャルメディアの人気により、ハッカーは有効なメールアドレスを見つけたり、ユーザーの生活活動を調査したりして、巧妙でカスタマイズされたフィッシング攻撃を仕掛けるのがはるかに簡単になりました。セキュリティの観点から見ると、フィッシング問題の解決には通常、メール・セキュリティ・ゲートウェイ、ウェブ・プロキシ、セキュリティ・トレーニング・アウェアネスという3つのアプローチがありますが、それぞれに独自の制限があります。

メールセキュリティゲートウェイは、受信するすべてのメールを確認し、スパムとレピュテーションに関する情報を入手します。しかし、実際にクリックが発生した場合の主な防御策は、クラウドソーシングを通じて入手したウェブサイトに関する事前知識であり、その結果「患者ゼロ問題」が生じます。言い換えると、ウェブサイトの評価に関する判決が下されるまで、最初の数人のユーザーは潜在的に悪質なウェブサイトへのアクセスを許可されます。

一方、WebプロキシはHTTPについて知っておくべきことはほとんどすべて知っていますが、電子メールに関しては無知です。さらに重要なのは、ユーザーがブラウザの URL バーに入力するのとは対照的に、電子メールのクリックによる Web サイト訪問という重要なコンテキストを把握していないことです。セキュリティ意識向上トレーニングはリスクの軽減に役立つかもしれませんが、トレーニングだけでは十分ではありません。なぜなら、ユーザーをトレーニングするために使用されるソフトウェアは、実際のフィッシングメールのリンクがクリックされたときにはほとんど見えなくなるからです。

多くの場合、攻撃者は時間をかけてウェブサイトを「良好」と分類し、これらすべての防御策を迂回しています。簡単に言えば、フィッシングはすべての人を危険にさらすソーシャルエンジニアリングの問題です。幸いなことに、この問題の簡単な解決策は、組織に安全な許可オプションを提供する隔離戦略に移行することです。企業が未だに Web サイトが「良い」か「悪い」かを突き止めようとしているため、ハッカーは非常に創造的になりました。しかし、隔離に移行した後でも、重要なのはアクセスまたはその欠如だけです。

隔離サービスが利用できなくても、フィッシングに対抗する方法はいくつかあります。1 つ目は、簡単なメール衛生対策を実施することです。無料の特典やクーポン、ソーシャルメディアへの投稿に言及しているメールは無視して削除するのが最善の策です。もう1つは、常にソースに直接アクセスすることです。メールに埋め込まれているリンクをたどるのではなく、訪問したいウェブサイトに URL バーから直接アクセスする必要があります。最後に、フィッシングされる可能性が低いため、新しい個別のアカウントを作成したり、偽のメールアドレスを使用してこれらのアカウントにサインアップしたりして、オープン認証プログラムを避けることをお勧めします。これらの簡単な手順に従うか、隔離を行うことで、ユーザーや組織は「外部からの隔離」を図り、メールフィッシング攻撃の被害に遭わないようにすることができます。