このメールは、水曜に公開された6,400ページにわたるヒラリー・クリントンのメールに見つかった5つのフィッシング詐欺の1つです。元ファーストレディのクリントン氏が詐欺に引っ掛かったという確証はありませんが、彼女の政敵たちはこれを用い、在任期間中に彼女が使っていた独自のプライベートサーバにセキュリティリスクがあったとして、彼女を攻撃しています。ただし、米国防総省の正式なサーバを通じて受け取るメールの7通のうち1通はスパム、あるいはフィッシング、または他のマルウェアを使った攻撃であることも先日の報告で発覚しています。

こうした攻撃を受けるのは避けられません。ハッキングの最も効果的な方法の1つは、単純にパスワードを聞き出すことです。サイバー犯罪者たちは、そのことを昔からわかっています。

この手法が成り立っているのは、たいていの人が認証情報の入力に慣れてしまっており、サイトが十分信頼できるような作りになっている場合に、簡単に認証情報を入力してしまうからです。そして悪い連中がこれらの情報を使って、私たちのデジタルライフの鍵を開けてしまうのです。

上のような信頼できないメールを認識するための、私たちの判断力が高まってきているため、オンライン上で自分に関する情報を共有したいという私たちの欲求を犯罪者たちは利用し、“スピアフィッシング”と呼ばれる、より高度なテクニックを開発しました。この攻撃には通常、皆さんと関係のある人や、会社から送られてくるパーソナライズドメールが使用されます。

こうした攻撃は、クリントン氏のような重要人物を標的にするハッキングのために開発されました。ロシアのバックアップを受けているDukesグループは、西側勢力などに対して行った7年間のキャンペーンでこの手法を用いました。エフセキュアのブログBusiness Insiderでは、Eijaがフィンランドの新興企業のCEOに対してスピアフィッシングが仕掛けられた件を取り上げて解説しています

「ただし、誰もが標的になりえるのです」とEijaは述べています。

Office of Personnel Management(人事管理局)が先日、ハッキングを受けたことで、アメリカ政府内で仕事をしている人が高度にパーソナライズされた攻撃を受ける可能性は大幅に高まりました。

米国土安全保障省のChief Information Security Officerであるポール・ベックマン氏は、9月に開催されたビリントン・サイバーセキュリティ・サミットで、次のように述べています。「現在、私の個人情報のすべてが攻撃者の手中にあります。彼らは実質的に、私のすべてを知っているわけですから、私自身ですら影響されてしまうようなメールを、私に成り代わって作成することができるでしょう。」

ベックマン氏は自分のスタッフに偽のフィッシングメールを定期的に送り、引っ掛かるかどうかを確かめているそうです。「どれほど引っ掛かるかを知ったら、皆、驚くでしょう。」

引っ掛かってしまうと、強制的にセキュリティトレーニングを受けなければなりません。しかし、そうした教育を2回、3回と受けた後でも、同じ人たちが似たような詐欺に引っ掛かるといいます。

「世界で行われているフィッシングキャンペーンにすぐに引っ掛かるような人には、連邦政府の機密事項取扱い許可を与えるべきではありません。そうした情報を、責任を持って取り扱えるだけの責任ある行動をしていないということを、自ら明らかにしたことになります。」

ベックマン氏は、詐欺を見抜くことができないことを示した人たちから、取扱い許可をはく奪すべきだという提案をしたそうです。これによって、そうした人たちのキャリアの将来が制限されたり、仕事を失う可能性もあるでしょう。

あなたがもし新興企業のCEOなら、会社のセキュリティが自身の成功には必要不可欠であることは分かりますよね。でも、ただの社員だとしたら、知的財産を保護しようという気持ちを強く持つことはないでしょう。

犯罪者たちからすれば、1人の被害者がほんの一度のミスを犯せば成功したことになります。教育だけでは不十分ということであれば、雇用主たちはどうすれば良いのでしょうか? 詐欺をうまくかわすことができる人たちへの正の強化はどうでしょうか?

実際、安全性というのは、訓練したことや、重点を置いていることの程度によって決まります。組織は、その両方を高める最も効果的な方法を見出す努力をしなければなりません。

仕事場であれ、家であれ、米国務省内であれ、近いうちにあなたもフィッシング攻撃に遭遇する可能性はあると思います。引っ掛からないようにするためのEijaからの基本アドバイスを紹介しておきましょう。

  • どの場所でも、パスワードを入力する時は用心する
  • 2段階認証を有効にする
  • Googleのセキュリティ診断とプライバシー診断ツールを利用する
  • 転送・メールフィルタリングの設定、接続しているアプリ&サイト、デバイスおよびアクティビティ、共有ファイルを定期的に見直す
  • デスクトップクライアントやモバイルクライアントにPOPアクセスやIMAPアクセスが必要なければ、これらを無効にする

それでは
Sandra

>>原文へのリンク