SNS利用の攻撃から会社を守る3つのヒント：Twitterでわなに掛からないためには

TwitterやSNSの採用を検討している企業は、これらのサービスを武器に機密データを狙うフィッシャーへの対処が必要だ。

[Brian Prince，eWEEK]

　Web上で非常に人気の高いSNS（ソーシャルネットワーキングサービス）であるFacebookとTwitterは先週、フィッシング攻撃を受けたことで注目を集めた。広く普及しているSNSだが、企業のデータを狙う多くのフィッシャーたちは、まだSNSから獲物を釣り上げてはいない――少なくとも今のところは。

　「当社では、FacebookやLinkedInなどのSNSサイトのメッセージがフィッシング攻撃で利用されたという事件にまだ対処したことはないが、いずれそういったことが起きるだろう」と話すのは、米セキュリティサービス企業Intrepidus Groupのロイト・ベラーニCEOだ。「企業にフィッシング攻撃を仕掛ける手段としてSNSがあまり利用されていないのは、企業がSNSを受け入れるか拒絶するかまだ検討している段階にあるからだと思う。各社は現在、自社のブランドや商標をSNS上で注意深く監視するためにお金を掛けている段階であり、SNSを全面的に受け入れることに対しては慎重な構えを示している」

　しかし顧客開拓の手段としてTwitterを利用しようと考えている企業もあるため、スピアフィッシャー（標的型攻撃をするフィッシャー）たちはもうすぐ、企業をターゲットにした攻撃を仕掛けるのに素晴らしい武器を手に入れることになりそうだ。

　「http://twitpic.com/やtinyurl.comなどのURL短縮サービスのせいで、ユーザーはリンクをクリックしたときに、自分がどこに誘導されるのか分からない。フィッシャーたちはもうすぐ、こういったユーザーの行動を利用するようになるだろう」とベラーニ氏は語る。

　Intrepidus Groupは今年、世界各国の企業の6万9000人の従業員を対象として、32種類のフィッシングシナリオを用いた調査を実施した。その結果、23％の従業員が攻撃に無防備であることが分かった。また、フィッシングメールに応答した従業員の60％は、受信してから3時間以内に返事をしたという。

　「最近のフィッシング攻撃はターゲットを絞り込んだものが多い」とベラーニ氏は指摘する。「攻撃者たちは丹念にフィッシングメールを準備し、さまざまなソースから重要な情報を引き出す。LinkedInのような企業向けSNSはフィッシャーにとって情報の宝庫だが、彼らにとって金鉱のような個人情報集約サイトはほかにもたくさんある（zoominfo.com、jigsaw.comなど）」

　一方、セキュリティ企業のNetragardでは、偽のFacebookプロフィールを利用した侵入テストを実施し、エネルギー供給会社の従業員たちをだまして認証情報を入力させた。これらの認証情報を使えば、社内ネットワーク上のシステムの大多数（メインフレームを含む）にアクセスすることもできたという。

　こういった点を踏まえ、従業員がフィッシャーのわなに掛からないようトレーニングする上でのヒントを以下に示す。

1. 具体例を示す（言葉だけでは不十分）

　自分たちにどんな関係があるのかを従業員が理解すれば効果が上がる。例えば、実際のフィッシングメールを見せ、スピアフィッシャーが社内および社外で人々を標的にする数々の手法を示すのもいい。

　「職場だけでなく自宅でも役立つセキュリティTipsを学んでいると従業員が感じたら、学ぼうとする意欲が高まる」とベラーニ氏は話す。「実際のフィッシングサンプルを彼らに定期的に送信し、彼らのスキルを磨くといい。楽しいトレーニングにすることが大切だ」

2. 社内の通信ポリシーを見直す

　ベラーニ氏によると、社内のコミュニケーションに関するポリシーを見直し、フィッシングに対してどのくらい脆弱なのかを評価する必要があるという。

　「リンクが含まれる電子メールを日常的に従業員が送信しているかチェックすること。そういった習慣をやめさせ、電子メールにURLを含めるのではなく、イントラネット上のリンク、例えば“Intranet/Home/HR/New 401k”に従業員を導くような方法を検討すべきだ」と同氏は語る。

3. 不審なメールは疑ってかかる

　メールに対して疑惑を抱くことは良いことだ。知らない送信者からの電子メールには疑ってかかるよう従業員に教えること。不審な（あるいは予期せぬ）メッセージ、質問、添付ファイルなどを受け取ったら、それが正規のメールかどうかをオフラインで確認させるようにする。

原文へのリンク