フィッシングトレーニングとは

詐欺だと見抜くことができたEメールはどのくらいありますか。スペルの間違いや不自然な書式から詐欺だと気付いたり、注目を集めるような件名に疑念を抱いたりすることがあるかもしれません。サイバーセキュリティやITの専門家であれば、まったく苦労せずにフィッシングEメールを見抜くことができるでしょう。でも、従業員はどうでしょうか。

あらゆる種類のサイバー犯罪、特にフィッシングが2023年に過去最高の流行を迎える中、組織内のすべての人がフィッシング攻撃を特定し、事業と顧客の安全を維持するために積極的な役割を果たす能力を備えることが重要です。

フィッシング攻撃への意識向上トレーニングは、次のような内容の教育プログラムです。

• フィッシング攻撃とは何かとその仕組み
• フィッシングEメールやその他の攻撃方法を見抜く方法
• フィッシング攻撃の被害に遭わないようにするために個人ができる対策
• フィッシング攻撃と疑われる事案を報告する方法

フィッシングトレーニングが必要な理由

フィッシングインシデントが増加し、オンラインで行われる活動も増加している中で、組織として、会社とそのデジタルアセットを保護するための対策を講じることは必要不可欠です。マルウェア攻撃やランサムウェア攻撃は、悪意のあるリンクをクリックしたり、破損したファイルをダウンロードしたりするだけで、気付かぬうちに行われるため、残念なことに人が最大の脆弱性となる可能性があります。

FBIのInternet Crime Complaint Center (IC3) が2022年3月に公開した最新のInternet Crime Reportによれば、2020年初頭にCOVID-19のパンデミックが始まって以来、フィッシング詐欺が280%増加していることがわかっています。この大幅な増加は、サイバー犯罪者が企業のシステムにアクセスして、さらに攻撃計画を進めるために、人を悪用しようと企み続けていることを表しています。

多くの企業がウイルス対策ソリューションやEDR（エンドポイント検知・対応） などの技術を利用してリスクを軽減していますが、これらのツールは絶対確実とは言えません。さらに、サイバー犯罪者側の技術が進化していることから、一部の、特に無料や低価格のツールでは、不審なメッセージを効果的に特定できなくなる可能性があります。すなわち、企業がフィッシングとの闘いで勝利を収められるかは、従業員にかかっています。

フィッシングトレーニングは効果的なのか

あらゆる企業向けトレーニングやITプログラムと同様、場合によります。プログラムの質、個人の学習意欲、企業文化のすべてが、フィッシングトレーニングプログラムの短期的および長期的両方の効果に影響します。

多くのIT組織では詳細なサイバーセキュリティの専門知識が不足しているため、組織の理解度を評価し、不足している知識を特定し、スキルとプロセスを開発して、すべての従業員がフィッシングなどのサイバーリスクにいつでも対処できる気構えと能力を持てるようにするためには、信頼できるパートナーに頼ることをお勧めします。

フィッシング攻撃への意識向上トレーニングの実施手順

すべての企業は、フィッシング攻撃への意識向上を全般的なサイバーセキュリティのトレーニングプログラムにおける中心的内容として扱うべきです。ここでは、企業がフィッシング攻撃への意識向上トレーニングを実施する際に取るべき手順を紹介します。

1. 従業員教育用の資料を準備する

最初の手順は、ITチームが徹底的な調査を行うか、評価の高いサイバーセキュリティベンダーまたは専門家と提携して、その企業独特のリスクを把握することです。この調査の一環としてチームは、その企業で発生した過去の全インシデントと、企業で現在使用している、今後の攻撃を防ぐためのツール、ポリシー、手順を確認する必要があります。

これらを基に、自社専用のトレーニングプログラムと小テストや模擬訓練などの補助ツールを開発して、従業員がセキュリティ意識を強化し、ベストプラクティスを実施して、会社のポリシーを遵守できるようにします。

教育資料に含めるべき内容

組織によって状況が異なり、ほとんどの組織にはその組織用にカスタマイズされたトレーニングプログラムが必要ですが、以下のトピックは必ずフィッシングのカリキュラムに含める必要があります。

• 典型的なフィッシング攻撃のパターン
• サイバー犯罪者がよく使用する手法
• 典型的なフィッシングメッセージの特徴
• 攻撃者の意図と攻撃が成功した場合の典型的な結果
• Eメールがフィッシングキャンペーンであると疑われる場合に受信者がしてはならないこと
• ITチームと当局の両方にフィッシングキャンペーンを正しく報告する方法

実際の例を使用して学習効果を高める

適切なトレーニングと意識向上により、最も基本的なフィッシング攻撃を見分けるのが容易になります。トレーニングコースの中で以下に示すようなさまざまなフィッシングEメールの実例を使用すると、従業員がよくある特徴を見つけて、詐欺を見抜くことができるようになります。

フィッシングチェックリスト

送信者に次のような特徴がある場合、フィッシングEメールである可能性があります。

• 機密の情報を要求する
• 異なるドメインを使用している
• ドメインと一致しないリンクを含む
• 無用な添付を含む
• 個人に宛てられていない
• 文章や文法がおかしい
• 受信者をパニックに陥れようとする

2. フィッシング攻撃トレーニングに関する小テストを実施する

トレーニングが完了したら、学習内容に関する参加者の知識と意識、またフィッシングEメールやメッセージを見抜く能力を評価することが重要です。

クラウドストライクは、フィッシングの意識向上に関する小テストを開発しました。この小テストでは、さまざまなフィッシングの実例を取り上げ、危険なメッセージを特定し、そのようなメッセージを受け取った場合に取るべき行動を従業員に回答してもらいます。このフィッシングの意識向上に関する小テストなどを実施することで、ITチームはトレーニング資料の効果を確認し、さらに指導が必要な内容を洗い出すことができます。

3. 模擬フィッシングキャンペーンを実施する

カリキュラムでの学習内容を定着させ、なかなか解消されない弱点を洗い出し、従業員がサイバーセキュリティを最優先事項と考えるようにするために、すべてのトレーニングプログラムで、定期的に抜き打ちの模擬フィッシングテストを実施する必要もあります。

このテストは、Eメール、SMSメッセージ、ボイスメールを使用して行うことができ、ITチームがこれらを送信して監視します。リンクをクリックした、ファイルをダウンロードした、あるいはメッセージに返信した従業員は、関連するトレーニングリソースにリダイレクトされ、サイバーセキュリティの意識とスキルを向上させることができます。また、このような演習の結果を使用してトレーニング資料を改良することや、重要なトピックに関するカスタムコースを作成することもできます。

4. フィッシング攻撃の報告方法を従業員に教える

すべてのフィッシング意識向上トレーニングプログラムで、フィッシングだと疑われるEメールに安全に対処するための手順も教える必要があります。これには以下のものが含まれます。

• 不審なEメールを開かない、返信しない、やり取りしない
• フィッシングの疑いがあった場合は、すぐにITチームに報告する
• チームメイトや同僚に同様のメッセージに注意するよう伝える

5. 結果を評価し、定期的にテストする

フィッシングの脅威は進化し続け、なくなることはないため、組織は定期的に再教育コースと、新たなフィッシングキャンペーン、手法、特徴を教えるための特別プログラムを実施する必要があります。

また、ITチームは、従業員がフィッシングとの闘いで常に警戒を怠らないようにするために、定期的にテストと模擬訓練を実施する必要もあります。これらのテストの結果は、トレーニングプログラムを改良し、被害を受けるリスクが高い個人やチームを集中的に指導するために使用できます。

すぐに利用できるフィッシングリソースを提供する

従業員に対し、フィッシングなどのサイバー攻撃のリスクを抑えるために、ITチームが行っているその他の対策を伝えることも効果的で、安心感を与えることができます。これには、従業員がそもそもフィッシング攻撃にさらされないように防ぐための、さまざまなセキュリティツール、サービス、ポリシー、手順などがあります。例えば、次のようなものです。

• フィッシングによってシステムに侵入するマルウェアを防止、検知、削除するウイルス対策ソフトウェア。
• 専門のセキュリティ研究者が作成した事前定義済みの拒否リストを使用して、フィッシングEメールをユーザーの迷惑メールフォルダーに自動的に移動するスパム対策フィルター。
• これまでとは違う新たな攻撃が日々生まれているため、ブラウザとソフトウェアの定期的な更新によってフィッシング詐欺への防御を強化する。
• 機密性の高いアカウントにアクセスする際に、電話に送信されるアクセスコードなどの第2レベルの認証を必要とする、多要素認証 (MFA)。