Chromeが新しいアップデートを公開し、悪意のあるリンク、企業のなりすまし、正規のWebサービスの使用の検出に重大な影響を与える悪意のあるWebサイトに関するGoogleの調査結果を明らかにしました。
Googleは今月、Googleセーフブラウジングの新機能を公開しました。この機能は現在500万台以上のデバイスで使用されており、Chromeブラウザーのユーザーをより安全に保護します。
この新機能では、Googleのサーバー側のリストと照らし合わせて、Webサイトがリアルタイムでチェックされ、サイトにアクセスする前にそのWebサイトに不審な点がないか、または悪意がないかを確認します。以前は、クライアント側のリストは30〜60分ごとに更新されていましたが、この新機能により、Googleが危険なWebサイトと判断した時点で、GoogleセーフブラウジングのユーザーはそのWebサイトにアクセスできなくなります。
注意しなければならないのは、この発表において、クライアント側のリストの更新頻度が30〜60分ごとでは不十分であった理由について言及していることです。
Googleは、「悪意のあるWebサイトが実際に存在する時間は、平均して10分未満である」と述べています。
これは、サイバーセキュリティの対策に重大な影響を与える情報です。Webサイトをデータベースと照合して危険かどうかを確認するセキュリティソリューションでは、ユーザーが攻撃を受ける恐れがあります。Googleはさらに、「リアルタイムでWebサイトをチェックすることで、フィッシング攻撃を25%以上阻止できるようになる」と述べています。
言い換えれば、組織が利用中の対策ソリューションでは、「インスタント」な攻撃Webサイトへのアクセスを防ぐ事ができる可能性が低いということです。
最後の手段はユーザー自身です。新しいスタイルの先進的なセキュリティ意識向上トレーニングにより、ユーザーが悪意のあるWebページを見極める能力が向上し、セキュリティシステムでは検出されないWebサイトであっても騙されることがなくなるでしょう。さらに良いことに、ユーザーをWebページに誘導するフィシングメールにも騙されにくくなるので、よりセキュリティが高まります。
悪意のあるWebサイトの平均存続時間が10分未満と言われてもその危険性を認識しづらいかもしれません。しかし、セキュリティシステムに頼り切っているなら、それを掻い潜れば容易に被害をもたらすことができることを考えると、このような手口はなんら不思議ではありません。サイバー犯罪マーケットには非常に多くの悪意のある自動化ツールキットが存在しており、攻撃インフラの用意は想像以上に簡単なのです。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年3月25日発信 https://blog.knowbe4.com/average-malicious-website-exists-10-minutes
