KnowBe4セキュリティ意識向上トレーニングブログ：ソーシャルエンジニアリングによる大手ホテルの情報漏えいからの教訓

7月半ばに、ホテルチェーン最大手のマリオット・インターナショナルが、2022年2度目の情報漏えいに見舞われた。Group with No Name（GNN）と呼ばれるグループによる攻撃は6月初旬に行われ、同サイバー犯罪集団はソーシャルエンジニアリングを使ってホテルのスタッフの1人に忍び寄り、その同僚のコンピューターへのアクセスに成功している。

幸いにも、今回の情報漏えいは限定的なもので、数100件の顧客個人情報しか漏えいしなかった。しかしながら、度重なる顧客情報の漏えいは、セキュリティ意識向上を全社で取り組み、従業員一人ひとりにセキュリティ意識向上トレーニングを実施することがいかに重要かを教えてくれている。このマリオットの事例からの教訓を以下に列記する。

教訓１：全社でのセキュリティ強化 - 模擬フィッシング演習を組み合わせた継続的なセキュリティ意識向上トレーニングの全社での実施
「ソーシャルエンジニアリングに関する教育を頻繁に受けることは不可欠である。少なくとも月に一度はトレーニングを受け、その後摸擬フィッシング演習を行い、トレーニングをどの程度理解し、トレーニングで得た知識を適用できたかを確認する必要がある」とKnowBe4のデータドリブン防御エバンジェリストである Roger Grimes（ロジャー・グライムス）は述べている。

教訓2：従業員個々のセキュリティアセスメント - 従業員一人ひとりの脆弱性を評価
KnowBe4は、セキュリティ意識習熟度評価（Security Awareness Proficiency Assessment）のためのセキュリティアセスメントを10分ほどで終わるQ&A評価シートで用意している。このアセスメントは、最新の研究に基づき、サイバー攻撃をいかに受けやすいかをチェックすることができる。より具体的には、組織のサイバーセキュリティ要件に関して個々の脆弱性を評価することを可能にしている。KnowBe4のセキュリティ意識習熟度評価およびセキュリティカルチャー評価についてさらに知りたい方は、次のURLをアクセスしてください。
https://training.knowbe4.com/ui/modstore/public?lang=&s=&wasl=true&od=Desc&op=TranslationCount&cti=5

特定のソーシャルエンジニアリング攻撃に弱いことが判明した従業員には、この攻撃を直感的に見分けることが身につくまで、個別のトレーニングコースを義務づけるべきある。KnowBe4のでは、Smart Group (スマートグループ)という機能を用意しており、このプロセスは自動的に設定することができる。

教訓3：狙いやすい標的であるという評判を持たれないこと
マリオットは過去に何回も顧客情報流出に見舞われており、サイバー攻撃グループから容易な標的と見られていたと考えられる。あなたの会社が情報漏えいの被害に遭えば、他の攻撃者があなたの会社を再び標的にしようとする可能性が高くなる。これは、あなたの会社はセキュリティ管理が脆弱であると思われていることによるものである。

これを裏付ける良い例がサイバーリーズン社の最近のレポートから知ることができる。このレポートによると、過去12ヶ月間に73%の組織がランサムウェアの攻撃を経験していることを明らかにしている。また、身代金を支払った組織の80%が2回目のランサムウェアの攻撃を受けていること、そして68%が2回目の攻撃は1ヶ月以内に起こっていると報告している。

この苦境を回避する唯一の方法は、最新のEDR（Endpoint Detection and Response）ソリューションを導入すると同時に、継続的なセキュリティ意識向上トレーニングを採用して従業員の人的なセキュリティ対策を強化し、従業員一人ひとりが防御の最終ラインになることである。

ここでは、あなたの組織を標的にしにくいものにするために利用できる、さらに10のベストプラクティスを紹介する。