最近、あるお客様から「メール内のクリック可能なURLリンクを無効にするだけで、十分なサイバー攻撃対策ができるのでしょうか?その場合、従業員のセキュリティ意識向上トレーニングやフィッシングのシミュレーションは不要になるのでしょうか?」というお問い合わせがありました。
しかし、URLリンクを無効にするだけでは対策は不十分です。このブログではその理由を説明します。
メール内のすべてのURLリンクをデフォルトで無効にすることは、サイバーセキュリティリスクを減らす有効な手段の一つです。この操作を行うと、URLに含まれる「ハイパーリンク」プロパティが削除されURLがプレーンテキストで表示されるため、クリックやキーボード操作でブラウザーを自動的に開けなくなります。
米国防総省などの多くの組織やサイバーセキュリティのガイドでは、すべてのURLをプレーンテキストとして表示することを推奨しています。そのため、Microsoft Outlookなどの多くのメールアプリケーションでは、20年以上前からこのオプションが備わっています。
クリック可能なURLをデフォルトで無効にすることは、確かにサイバーセキュリティリスクを軽減します。ユーザーがリンクを見てすぐにクリックしてしまうリスクを減らせるためです。少なくとも、ユーザーはリンクを手動でコピーしてブラウザのアドレスバーに貼り付けなければならなくなります。リンクを手動で開くようにすることで、URLにアクセスする人の割合が減少することが証明されています。攻撃者にとってこれは非常に厄介です。
しかし、プレーンテキストで表示されたリンクは、正当なリンクをクリックしてすぐにWebサイトにアクセスしたいユーザーにとっては非常に不便です。受信するメールのほとんどが悪意のないものである場合、リンクを無効にすることでほとんどのユーザーにとって大きな不便を強いることになります。そのため、多くの組織ではこの方法を採用しません。しかし実施した場合は、不便ではありますが、メールによるソーシャルエンジニアリングからのリスクを軽減できます。しかし、これですべてのリスクが軽減できるわけではありません。
リンクをコピーして貼り付けるユーザーもいる
特に目的や必要があるユーザーは、リンクをブラウザにコピーしてWebサイトへアクセスするでしょう。ハイパーリンクを無効にすれば、リンクのクリック率は減りますが、完全には防げません。コピー&ペーストの方法は誰もが知っており、この操作には10秒程度しかかかりません。
そのため、不正なURLを見分ける方法をユーザーにトレーニングする必要があります。不正なURLの見分け方に関する1時間のウェビナーをここにご紹介します。
また、最近のKnowBe4のブログで「クリックジャッキング攻撃」についても取り上げました。これは、攻撃者が被害者にURLを入力させるだけではなく、被害者のコマンドラインでより複雑なコマンドやPowerShellスクリプトを実行させる手法です。
メールベースのソーシャルエンジニアリングをすべて阻止できるわけではない
ほとんどのメールベースのソーシャルエンジニアリングにはURLリンクが含まれており、サイバー攻撃者は被害者にそのリンクをクリックさせようとしますが、クリックされないケースも多くあります。そのため、リンクの代わりにQRコードを含むメールが増えています。コールバックフィッシングでは、被害者に電話をかけさせる手口が使われ、URLリンクが含まれていない場合もあります。また、リンクが画像の一部として含まれていて、ユーザーが手動で入力しなければならないケースもあります。
メールは唯一のフィッシング手段ではない
ソーシャルエンジニアリングやフィッシングはメール以外の通信手段でも発生し、対面、電話、SMS、ソーシャルメディア、チャットアプリ、QRコードなど、どのような手段でも攻撃は可能です。ソーシャルエンジニアリング対策のトレーニングを中断すると、メール以外の手段でユーザーが危険にさらされるリスクが高まります。
自宅のユーザーは保護できない
URLブロッキングが有効になっていない自宅のデバイスを使用する多くのユーザーは、危険にさらされています。フィッシング攻撃や金銭の詐取など、個人的に被害を受けた従業員は、業務の生産性が低下してしまいます。従業員が自宅で被害に遭うケースも多く、その個人の侵害が企業への攻撃の足がかりとして利用されることがあります。
優れたセキュリティ意識向上トレーニングとは
優れたセキュリティ意識向上トレーニングには、メールフィッシングやメールフィッシングキャンペーンのシミュレーションに関するトレーニングだけではなく、あらゆる種類のフィッシングと、それらがさまざまなデバイスで発生する仕組みを理解できるトレーニングが含まれるべきです。従業員がメール攻撃に騙されるのと同様に電話でも騙されるのは避けたい事態です。
トレーニングとテストはフィッシング対策に留まらず、人のリスク管理を改善するためのさまざまな要素が含まれるべきです。例えば、パスワードポリシー、会社のポリシーの遵守、出張時や車内で会社のデバイスを安全に保つ方法、機密情報を公開したり公の場で議論したりしないなどのコンプライアンスに関するトピックも含める必要があります。これらの教育には、ビデオ、ポスター、ゲーム、対面でのミーティングなどの形式が含まれるべきです。そして、それらすべてが、メールを通じたセキュリティ意識向上トレーニングによって改善され、効果が高まります。
こうしたトレーニングを実施していれば、サイバーセキュリティ意識の向上に関して組織に貢献していることになります。ただし、現実に即した模擬フィッシング訓練を行わない限り、その効果は最大限に発揮されません。
したがって、あなたや経営幹部が望むのであれば、URLハイパーリンクを無効にしてください。しかし、トレーニングやメールによる模擬フィッシングテストはやめないでください。優れたサイバーセキュリティカルチャーを構築するには、ハイパーリンクやメール以外にもさまざまな要素を取り入れなければなりません。
原典:Roger Grimes著 2024年8月19日発信 https://blog.knowbe4.com/is-disabling-clickable-url-links-enough