ヒューマンリスクマネジメントは、セキュリティ意識向上トレーニングだけで成り立つものではありませんが、トレーニングはその中心となる大きな要素です。
その背景には、あらゆる技術的なサイバーセキュリティ対策をすり抜けたうえで、70~90%のデータ侵害が「人」によって引き起こされているという事実があります。脅威に立ち向かうには、人による防御が欠かせません。
残念ながら、どれほど対策を講じても、いくつかのフィッシングメッセージがユーザーのもとに届いてしまうことは避けられません。そのとき、ユーザーはそのメッセージの重要性および対応方法を自ら判断しなければなりません。その判断次第では、自分自身の将来だけではなく、所属する組織の未来にも影響を及ぼす可能性があります。
全ての攻撃をできる限り見抜き、被害を防ぐためのトレーニングは、決して簡単ではありません。なぜなら、今や誰でもAIによるディープフェイクを使って他人を騙すことができてしまうからです。
ただし、対策はまだあります。もし私が全人類に向けて「最も効果的に攻撃を避けるテクニック」伝えるために20秒いただけるのであれば、次の言葉を残します。
「予期せぬメッセージが届き、これまでにしたことがない対応を求められた場合、その依頼を実行する前に、信頼できる別の手段でその内容を確認しましょう。」
この2つの特徴を兼ね備えたメッセージは、他のメッセージと比べて圧倒的に高い確率でソーシャルエンジニアリング攻撃の可能性があります。もちろん、すべての攻撃がこのパターンに当てはまるわけではありませんが、その99%はこれに該当すると考えていいと言えます。
ソーシャルエンジニアリングはメール、SMS、WhatsApp、SNS、仕事のチャット、電話、あるいは対面ですら行われます。メッセージがどのような形で届くかは関係ありません。注意すべきなのは、そのメッセージが予期しないタイミングで届いたことです。
もう一つの注意点は、メッセージの依頼内容がこれまでにやったことのないことであるかです。多くの場合、フィッシングメッセージには「至急ご確認ください」というように、緊急性を強調する文言が並んでいます。
そのほかにも、子どもが誘拐されたなど、人の感情を揺さぶる動機付けはいくらでもあります。ただ、そこまで複雑に考える必要はありません。
私は次のように割り切っています。
「予期せぬメッセージが届き、これまでにしたことのない行動を求められたら、立ち止まって、その内容をしっかり調べてから行動する。」
内容を確認する際は、そのメッセージ内に記載されている連絡先は使わないでください。 攻撃者によって、偽のメールアドレス、フィッシングリンク、偽のコールセンターに繋がる電話番号が記載されている可能性が高いです。最も安全な確認方法は、発信元に直接連絡を取ることです。会社の公式Webサイトにある電話番号など、確実に安全な手段を選びましょう。また、検索エンジンで電話番号を調べるのはおすすめしません。攻撃者が偽の番号を大量にばらまくことで、検索結果が不正に操作されてしまうケースもあります。
私自身、この2つの特徴を含むメッセージを読むと、まず最初にこう感じます。
「えっ、なにこれ?」
この「えっ?」と思う瞬間に、「もしかして詐欺では?」と疑うよう、自分自身を訓練してきました。
しかし、この考え方にたどり着いた私自身も、実際にこの反応を習慣づけるまでに数ヶ月かかりました。でも今では「えっ?」と思った瞬間に、一度立ち止まり、落ち着いてメッセージを見直せるようになりました。
上司から突然の依頼など、実際に悪意のない「予期しておらず、いままでにない依頼」を含む連絡も日常的に発生しています。
しかし、だからこそ次の言葉を覚えておきたいのです。
「予期せぬタイミングで届き、これまでしたことのない依頼を含むメッセージは、他のメッセージよりも攻撃であるリスクが高い」
この原則に従って、慎重に行動してください。
それだけで、自分自身や会社を、思わぬ損失や被害から救えるかもしれません。
原典:Roger Grimes著 2025年5月27日発信 https://blog.knowbe4.com/if-i-had-only-20-seconds-to-teach-people-how-to-avoid-scams