労務・人事ニュース

企業・組織を狙うフィッシング攻撃とは？求められる対策の重要性（サイバーセキュリティ情報局）

近年、サイバー攻撃が進化し続ける中で、企業を標的としたフィッシング攻撃が急増しています。このフィッシング攻撃は、企業が持つ貴重な情報や金銭的な利益を狙い、さまざまな手法で行われています。この記事では、企業を狙うフィッシング攻撃の背景とその対策について詳しく説明します。

企業を標的にしたフィッシング攻撃が増加している背景には、企業が保有する金銭的価値の高い情報を狙う攻撃者の動機があるためです。企業のデータや顧客情報、取引情報などは攻撃者にとって非常に価値が高く、これを悪用することで大きな利益を得ることができます。また、企業に対する攻撃は、社会的な影響力を持つため、攻撃者がその影響力を利用しようとする動機も存在します。最近では、ランサムウェアやビジネスメール詐欺（BEC）、DDoS攻撃などが一般的な手口として知られています。ランサムウェア攻撃では、パソコン内のデータが暗号化され、復旧のために身代金を要求されるという事例が増えています。さらに、データを窃取し、その公開を防ぐために金銭を要求する「ノーウェアランサム」という新たな手法も登場しています。

フィッシング攻撃の手法は多岐にわたり、攻撃者は巧妙な手段を用いて企業の従業員やシステムに侵入しようとします。例えば、ラテラルフィッシングでは、フィッシングメールやマルウェアを使用して従業員のメールアドレスやパスワードを盗み、その情報を基に正規のユーザーを装ってさらに攻撃を広げます。攻撃者はこの手法を使って、組織内部の複数のターゲットにアプローチすることができます。スピアフィッシングは、特定のターゲットに対して事前に収集した情報を基に個別に攻撃を仕掛ける手法です。ターゲットが普段やり取りをしている人物になりすましてメールを送信し、重要な情報を詐取しようとします。

企業がフィッシング攻撃から守るためには、従業員へのセキュリティ教育が重要です。定期的にセキュリティ教育を実施し、フィッシングメールの見分け方や基本的なセキュリティ対策を徹底させることが求められます。メールの送信元や件名、本文に注意を払い、怪しいリンクや添付ファイルを開かないように指導します。また、標的型攻撃メール訓練の実施も有効です。従業員に対して標的型攻撃メールを模した訓練を行い、実際の攻撃に備えることが必要です。これにより、従業員が攻撃の兆候に気付く能力を養うことができます。

高度なフィッシング攻撃に対抗するためには、メールセキュリティソリューションの導入が効果的です。スパムメール対策機能や不正プログラム検出機能、ファイルブロック機能、Webレピュテーション機能などを備えたソリューションを利用することで、企業全体のセキュリティを強化することができます。例えば、GUARDIANWALL Inbound Security for Microsoft 365を導入することで、スパムメールやマルウェアを自動的に検出・隔離し、企業全体のセキュリティを強化できます。

企業がフィッシング攻撃から守られるためには、多層的なセキュリティ対策が不可欠です。フィッシング攻撃は、攻撃者が企業内部に侵入するための手段としてますます巧妙化しています。そのため、従業員へのセキュリティ教育だけでなく、先進的なセキュリティソリューションを組み合わせた多層的な対策が必要です。技術革新によりマルウェアの亜種が日々生まれ、その対応も求められています。従来のパターンマッチングに加え、機械学習やサンドボックス機能を活用することで、多層的に脅威を排除することが求められます。

高度化するサイバー攻撃に対して、企業が持つべき意識と対策は常に進化しています。フィッシング攻撃からの被害を軽減するためにも、従業員への教育やセキュリティソリューションの導入は不可欠です。攻撃手法が日々進化する中で、最新の対策を取り入れることが求められます。企業はこれらの対策を講じることで、フィッシング攻撃から守られ、より安全なビジネス環境を維持することができます。

⇒ 詳しくはサイバーセキュリティ情報局のWEBサイトへ