年末年始の不注意なエンドユーザーを標的とするサイバー攻撃にどのように立ち向かうか
東京(2021年12月8日発 – 2021年もあと残すところ、1ヶ月を切りました。2021年は、新型コロナウイルスの影響によるサプライチェーン(供給網)の混乱と労働者の供給不足が発生しました。新規感染者数は多くの国で減少傾向にあるものの、世界的なサプライチェーンの混乱による原材料費の高騰など、経済環境に大きな問題をもたらしています。 日本においても、石油をはじめとする原材料費の高騰は多くの不安要素が山積しています。また、コロナ感染に関しては、新たな変異株やブレークスルー感染など、新たな不安要素が噴出してきています。このような不安要素をサイバー攻撃者は巧みに悪用して、サイバー攻撃被害者を以前に増して食い物に攻撃を仕掛けてきます。コロナ感染の新たな課題、世界的な物資の不足や高騰は、人々の感情の高ぶりやストレスの増加を発生させ、サイバー攻撃者にとって年末年始はソーシャルエンジニアリング攻撃を展開する最高の攻撃チャンスを生み出しています。
米国では、米FBが米国市民に対して警告として、「危険なホリデー・スキャムから身を守るための心得」を https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/holiday-scamsに公開しています。
世界のセキュリティ意識向上トレーニング市場をリードするKnowBe4 (本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、ホリデーシーズンをテーマにしたサイバー詐欺からエンドユーザーを守るための無料のリソースやコースウェアを集めた英文の「Holiday Cybersecurity Resource Kit」を発表しました。本プレスリリースは、KnowBe4がこのキットを通して米国内で発信しているこれらの資料のポイントを翻訳して、危険な年末年始のサイバー犯罪対策として日本企業のセキュリティ担当者と最新の情報を共有するために配信しています。
KnowBe4のCEOであるStu Sjouwermanは、本プレスリリースの発信について、次のようにコメントしています。
「すぐに強い感情を引き起こすようなメールや投稿、または、反応しなかったり何らかの行動を取らなかったりした場合には問題が発生すると脅すようなメールや投稿は、特に、ホリデーシーズンには慎重に精査する必要があります。商品やサービスに対して何らかの支払いを行う前には、必ず請求書や決済サービスの内容をよく確認してください。危険な年末年始のサイバー犯罪からエンドユーザーの皆様を守るために、本プレスリリースが一助となれば幸いです。」
<米FBI発行の「危険な年末年始サイバー犯罪から身を守るための心得」のポイント>
米FBIは次の4つの心得を示し、年末年始サイバー犯罪への注意を促しています。
- 有効なサイバーセキュリティハイジーン(衛生管理)の実践
- 電子メール、Webサイト、ソーシャルメディア上の不審なリンクや添付ファイルをクリックしない。フィッシング詐欺や類似の犯罪は、リンクをクリックさせて、名前、パスワード、銀行口座番号などの個人情報を聞き出します。場合によっては、知らず知らずのうちに端末にマルウェアをダウンロードしてしまうこともあります。
- 特に、パスワードやアカウント情報の更新を求めてくる会社には注意が必要。自分でその会社の電話番号を調べて、その会社に直接電話すること。連絡先が明記されていない場合は、ほぼサイバー詐欺です。
- 誰から買っているのか、誰に売っているのかの確認
- オンライン通販サイトを利用する場合、まずはWebサイトのURLをチェックして、それが安全なものであることを確認すること。購入しようとしているサイトのWebアドレスにはhttpsが付いているはずです。それがない場合は、そのサイトに情報を入力しない。
- 初めてその会社から購入する場合は、その会社の評判やサービスの評価を確認すること。
- 購入に踏み切る前に、買い手や売り手の正当性を確認すること。オンラインマーケットプレイスやオークションサイトを利用している場合は、そのフィードバック評価を確認する。ほとんどが好ましくないフィードバック評価、または全く評価のないバイヤーやセラーには要注意。利用しないことをお勧めします。
- 人気商品の正規代理店や工場を装った出品者が存在します。出品者の所在地を確認すること。
- 国内在住であるかのようにオークションや広告を掲載し、質問に対して「仕事や家族の緊急事態などの理由で国外にいる」と回答する出品者には注意が必要。
- 他国での関税や税金を避けるために、特定の方法での発送を要求する購入者は避ける。
- 支払い方法には注意が必要
- 売り手に直接お金を送金しないこと。
- プリペイド式ギフトカードでの支払いも避けること。このような詐欺では、販売者がお客様にギフトカードの番号と暗証番号を送るように要求します。そのギフトカードを支払いに使うのではありません。詐欺師がお金を騙し取れば、商品が発送されることはありません。
- オンラインショッピングではクレジットカードを利用し、適時明細を確認する。疑わしい取引があった場合には、クレジットカード会社に連絡して、その請求について異議を申し立てる。
- 出荷・配送状況の追跡確認
- オンラインで購入した商品は、必ず追跡番号を入手し、商品が発送されたことを確認し、配送過程を追跡することができるようする。
- クレジットカードで商品を販売する場合、カード所有者の住所と発送先の住所が一致しないものは疑ってください。商品を発送する前には、必ずカード所有者の承認を得ること。
<KnowBe4が無償で提供する2021 KnowBe4 Holiday Cybersecurity Resource Kitに含まれるもの>
- オンデマンドのウェブセミナー::2021年度業界別フィッシングベンチマーキング調査レポート(英語)
- ホワイトペーパー:サンプルセキュリティ意識向上トレーニングポリシーガイド(英語)
- 無償動画コース:Stay Safe for the Holidays (年末年始を安全に過ごすために) 日本語を含む10か国語で視聴可
- 無償トレーニングコース:Staying Safe for the Holidays (英語のみ)
- 無償教育動画:Holiday Scams to Avoid
- 4種の英語版デジタルサイネージ:年末年始のサイバー犯罪の脅威を警告するのに最適
- 2種の英語版ニュースレターひな形:年末年始ショッピングと年末年始旅行
KnowBe4 Holiday Kitのダウンロードは、https://www.knowbe4.com/holiday-resource-kitをアクセスしてください。また、日本語版の無償動画コース「Stay Safe for the Holidays (年末年始を安全に過ごすために)」を視聴することを希望する方は、https://training.knowbe4.com/modstore/view/c27617f2-191a-429f-9cf1-e186990f844c をクリックして、トップバナーの言語選択ナビゲーションから日本語(Japanese)を選択してください。
<2021 KnowBe4 Holiday Cybersecurity Resource Kitの要点ポイント>
年末年始の旅行、クリスマスのためのショッピング、年末最終の全体会議の準備など、12月は誰にとっても、一年で最も忙しい時期です。これは、言い換えると、サイバー犯罪者にとっても一年で最も忙しい、かきいれ時なのです。ハッカーは、年末年始のオンラインショッピング、年末の旅行、年末締めや年末年始コールなど、「ワクワクした浮かれた心理状態」と「忙しさによる時間的な制約」がもたらす心の隙にどのようにしたら付け込むことができるかを熟知しています。
このキットは危険なホリデーシーズンにサイバー犯罪に気をつけるために作成されましたが、ここでも最も重要なポイントは「セキュリティリテラシー」と「セキュリティアウェアネス」の違いです。「知っていること」と「実践できること」とは大きく異なります。社内全体(従業員の家族を含む)に年末年始の危険性を理解してもらい、年末年始の無防備なエンドユーザーを標的とするサイバー攻撃に立ち向かうことです。そのための方策として、次の2つをご紹介します。
- 方策1: デジタルサイネージやヒント集をイントラネットや社内メッセージングアプリに掲載したり、会社のビデオ会議の背景として使用したりすることで、従業員にこれらのヒントを常に意識させる。
- 方策2: 従業員をグループで集めて(ランチ&ラーニングや通常の会社のミーティングの一環として)、サイバー攻撃の脅威をグループで説明して、Q&Aやディスカッションセッションを開催し、社員が実際に目にした詐欺や、どのようにしてそれを見破ったかについて話し合う。
このキットに含まれる情報が、サイバーセキュリティに関する重要な教訓を伝え、今年のホリデーシーズンに悪質な行為者を寄せ付けないために共有されることを願っています。このキットは、本格的なセキュリティトレーニングやセキュリティ意識向上活動を補完するものとお考えください。
セキュリティ意識向上のためのトレーニングプログラムを構築し、巧妙化するソーシャルエンジニアリングの問題に対処するために、KnowBe4がどのように支援できるかについてご興味のある方は、ぜひKnowBe4 Japan合同会社までメール( info@knowbe4.jp )または 直接03-4588-6733 まで電話にてお問い合わせください。
<KnowBe4について>
KnowBe4(NASDAQ: KNBE)は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2021年11月現在、 4万4千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。
