なぜフィッシャーは新入社員を標的にするのか?

なぜフィッシャーは新入社員を標的にするのか?

新入社員が狙われる理由とは?

2024年8月29日
著者: Ahona Rudra
翻訳: 岩瀨 彩江

この記事はPowerDMARCのブログ記事 Why Do Phishers Target New Employees? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

長年にわたり、テクノロジーはあらゆる分野でより主張的な存在になってきました。
技術の進歩は、サイバー犯罪者が情報を盗むための革新的な手法を見つけることも可能にしました。

通常、何千人もの従業員を抱える大企業が標的にされます。
しかし、これは小規模な企業が攻撃対象から免れるという意味ではありません。
適切なサイバーセキュリティ対策が欠けていると、フィッシャー(詐欺者)は最も弱い箇所、たいていは新入社員を見つけやすくなります。

4人に1人の従業員が、フィッシングメールに添付されたリンクをクリックしたと認めているという記録があります。
したがって、企業はフィッシング攻撃を防ぐための戦略を立て、実行する必要があります。
徹底した従業員教育とサイバー犯罪に関する認識向上も求められます。

この記事は、従業員を狙ったフィッシング詐欺、その種類、そしてそれに対処する方法についてあなたに理解を深めてもらうことを目的としています。

重要なポイント

  1. サイバー犯罪者は、大企業と小規模ビジネスの両方を、フィッシング攻撃によってますます標的にしています。
  2. 新入社員は、企業のプロトコルやサイバーセキュリティのベストプラクティスに不慣れであるため、特に脆弱です。
  3. フィッシング攻撃は、多くの場合、疑われないように受信者を操作して、機密情報を開示させようとする個別化されたメッセージを含みます。
  4. 定期的な従業員トレーニングと意識向上プログラムは、従業員がフィッシングの脅威を認識し、対応する能力を身につけるために不可欠です。
  5. SPF、DKIM、DMARC を含む堅牢なメールセキュリティ対策を実装することで、企業に対するフィッシング攻撃の成功リスクを大幅に低減できます。

フィッシングを理解する

フィッシングは、詐欺者が偽のメールやリンクを使って、人々から重要な情報をだまし取るサイバー攻撃の一種です。
その情報はフィッシャー(詐欺者)の標的によって大きく異なり、通常は機密性の高いものです。

情報には通常、ログイン情報、アカウント情報、パスワード、銀行の認証情報などが含まれます。
フィッシング攻撃が成功すると、企業に大規模な損失をもたらす可能性があります。
それは機密情報を侵害するだけでなく、企業の機密情報を利用して名誉を傷つけることもあります。

新入社員を標的とする4つの一般的なフィッシング攻撃

従業員を標的とする多くのフィッシング攻撃は、個別化されたメッセージに基づいています。
メッセージの内容は、疑われないように、ユーザにとってもっともらしく見えるように構成されています。
時が経つにつれて、攻撃者は従来のフィッシング手法を改変してきました。

そのため、フィッシング攻撃の種類に関する従業員の知識を更新することは必須です。
そうすることで、攻撃を迅速に認識する助けになります。
以下に、従業員を標的とする一般的なフィッシング攻撃を示します。

1. 従業員フィッシングメール
これは最も一般的なフィッシング攻撃であり、新入社員をだますための最も手軽な方法です。
この種の攻撃はメールを通じて広がります。

攻撃者は、従業員の所属企業になりすましたメールを作成し、機密情報を盗み取ろうとします。
AI はこの種のフィッシング攻撃に大きな影響を与えており、攻撃者が識別しにくい高品質なフィッシングメールを生成することを可能にしています。
2. スピアフィッシング
スピアフィッシングは、非常に標的を絞ったフィッシング攻撃の一種です。
攻撃者は特定の従業員を狙う明確な目的を持っています。
ユーザに関する背景情報を収集した後、個別にカスタマイズされたメールが作成・送信されます。

このメールは、被害者がすぐに認識できる正規の送信元になりすましています。
スピアフィッシングでは、一般的な挨拶ではなく、受信者の名前からメールが始まることが多いです。
攻撃者は従業員の業務情報やアカウント情報を記載し、アクションを取るためにログインするよう促します。
3. ホエーリング
ホエーリングはフィッシングと同じ手法で発生しますが、攻撃対象は C-suite 幹部などのハイプロファイルな従業員です。
他のフィッシング攻撃と同様、緊急性を持たせた悪意のあるメールやメッセージが利用されます。

この攻撃では、これら高位の幹部になりすまし、被害者に悪意ある添付ファイルを開かせたり、機密情報を共有させたりします。
収集された情報は、企業データを悪用するために利用されます。
4. アングラーフィッシング攻撃
これは比較的新しいタイプのフィッシング攻撃です。
アングラーフィッシングは、ソーシャルメディアやWebサイトを利用してマルウェアを拡散します。
従業員は特定のURLやツイートを開くよう誘導されます。

そのWebサイトは、新入社員にログイン情報の入力を求めることがあり、結果としてデータ漏洩につながります。
また、このタイプでは、フィッシャーが従業員のSNS投稿内容を利用し、より精密に標的化された攻撃を作成することもあります。
従業員を標的とした4つの一般的なフィッシング攻撃の図解

なぜ新入社員は狙われやすいのか?

以下は、フィッシャー(詐欺者)が新入社員を標的にしやすい理由を説明する要因です。

会社のプロトコルへの不慣れ
通常、新入社員のオンボーディングでは、会社の方針やセキュリティのベストプラクティスに慣れてもらうことが含まれます。
また、絶対に外部へ漏らしてはならない機密情報の種類を理解する必要があります。
新入社員は、正規の会社メールアドレスと偽のメールアドレスの区別がつかない場合もあります。
サイバーセキュリティのベストプラクティスに関する知識の不足
現場に出たばかりの従業員は、サイバー脅威に関する知識が不足していることが多いです。
脆弱性や抜け穴について理解していないため、簡単にだまされてしまいます。
フィッシング攻撃の存在を知っていたとしても、具体的な対処法や防止策までは知らない場合があります。
自分をアピールしたいという意欲の高さ
新入社員は、新しい職場で自分の能力を証明したいという強い意欲を持っています。
そのため、指示に素早く反応し、確認せずに従ってしまうことがあります。

また、会社から送られてくるメールには迅速に返信しようと積極的に行動します。
フィッシャーは、この「早く対応しようとする心理」を利用して、新入社員を攻撃に誘い込むのです。

組織が従業員のサイバーセキュリティに失敗する理由

組織側の非効率性も、従業員が詐欺被害に遭う大きな要因となります。

不十分なトレーニングプログラム
サイバーセキュリティのトレーニングと認識向上は、従業員が業務を開始する段階で提供されるべきです。
組織はこのような内部トレーニングセッションを実施し、潜在的な脅威とその対処方法について全従業員に周知しなければなりません。
従業員表彰カスタマイズ可能なアワード、特別な記念プレートなどを活用して、サイバーセキュリティ教育への積極的な参加を促す文化を作ることも、警戒心を高める助けになります。
メールコミュニケーションへの依存
メールは長年、社員同士の主要なコミュニケーション手段です。
しかし、メールはフィッシャーにとって最大の攻撃対象でもあります。

そのため、企業は日常の社内コミュニケーションを Discord、Slack、Microsoft Teams などの個別チーム向けコミュニケーションプラットフォームに切り替えることを検討すべきです。
メールは特定の状況やクライアントとのやり取りに限定して使用する方法を考える必要があります。
メールセキュリティの欠如
企業はしばしば、SPFDKIM、DMARC といったメール認証のベストプラクティスを見落とします。
その結果、自社ドメインがなりすまし、フィッシング、スプーフィング攻撃に対して脆弱になります。
これは、新入社員宛に偽装された会社ドメインからの偽メールを容易に送れる状況を生みます。
コンプライアンス(ポリシー適用)の欠如
単にメール認証プロトコルを設定するだけでは不十分です。
組織がDMARCポリシーを適切に適用しなければ、ドメインは依然としてメール経由の脅威に対して脆弱なままです。
no-action(未適用)から enforced(強制適用)DMARCポリシーへ安全に移行するには、PowerDMARC に登録することをお薦めします。
組織が従業員のサイバーセキュリティ対策を誤る原因についての解説図

従業員の認識とトレーニングの重要性

従業員向けの認識向上トレーニングは、単なる形式的なものではありません。
PowerDMARC の無料メールセキュリティトレーニングコースは、何千人もの受講者(自社従業員を含む)がメール脅威に対して警戒を保ち、認識を高めるのに役立っています。
加えて、新入社員はフィッシング攻撃を避けるために、以下のようなヒントや戦略を活用できます。

フィッシング攻撃について常に最新情報を把握
フィッシング攻撃についての最新情報を、セキュリティトレーニングに参加し、AIや量子コンピューティングなどサイバーセキュリティの最新動向を学ぶこと。
メールアカウントや添付リンクの正当性を注意深く確認する
緊急性を煽るメールや、即時対応を求めるメールは避けてください。
すべてのソフトウェアとセキュリティツールを最新かつウイルスフリーの状態に保つ
アンチウイルス、アンチマルウェア、ファイアウォールなどのソフトを更新しましょう。
添付リンクにカーソルを合わせ、内容をよく読み、怪しいメールを回避する
メールの信頼性に疑いがある場合は、送信者に連絡し、他のプラットフォームで確認してください。
SPF、DMARC、DKIMを設定する
SPF、DMARC、DKIMなどの高度なメール認証プロトコルを使用してメールドメインを保護する。

まとめ

どの企業にとっても、従業員はデータ侵害に対する重要な防御源です。
しかし、さまざまなセキュリティプロトコルが導入されていても、悪意あるメールは従業員の受信箱に届いてしまいます。

したがって、企業が攻撃を防ぐためにできる唯一の方法は、予防策を整え、適切なセキュリティサービスプロバイダーを選ぶことです。
PowerDMARC は、あらゆる規模の組織がドメインセキュリティの要件を整え、メール配信率に悪影響を与えることなくコンプライアンスを達成する手助けをしてきました。
ドメインセキュリティを強化したい場合は、ぜひ私たちにお問い合わせください!