ただし、すべての従業員が同じリスクをもたらすわけではない。Cyentia Instituteが、Mimecast(マイムキャスト)の子会社であるElevate Security(エレベートセキュリティ)のデータを使用してまとめたリポートによると、インシデントの80%は、約8%の従業員が引き起こしているとう。
マイムキャストの人的リスク戦略担当バイスプレジデントを務めるマーシャ・セドヴァは、「一般的に、従業員の中には、サイバーセキュリティに対する意識が高い人もいれば、同じレベルのセキュリティの常識を持ち合わせていない人もいる」と言う。
さらに、すべての従業員が同じ頻度で攻撃されるわけではない。特定の従業員は、その役割や機密情報へのアクセスなどの理由で、標的にされることがより多くなる、とセドヴァは言う。
同氏が、2024年はじめのカンファレンスで発表した統計を見てみよう。
・管理職がフィッシングの標的にされる件数は、一般社員(individual contributor)と比べて約2倍
・管理職が受け取るフィッシングメールの数は、一般社員の2倍以上
・新入社員よりも、在職期間が長い従業員の方が、フィッシングに遭う頻度が高い
どの従業員がサイバー攻撃の標的になりやすいか、どの従業員がインシデントを引き起こしやすいかを知ることで、企業はサイバーセキュリティへの取り組み方を変えることができる、とセドヴァは言う。
多いのは人為的ミス
セドヴァによれば、各社は、人的要因を考慮に入れず技術に多額を費やしてきたが、人的要因は、不正侵入が成功する理由のトップだという。Verizon(ベライゾン)による『2024年版データ漏洩/侵害調査報告書 』から、侵入の68%は、ソーシャルエンジニアリング攻撃の犠牲になった人や、ミスを犯した人など、悪意のない人的要素が関与していることが明らかになっている。「人的要素を理解しなければ、すべてのテクノロジーは、最大限の能力を発揮することはできない」とセドヴァは言う。
従業員は、自分が攻撃されている際に、それを認識できるようになる必要がある。攻撃が進行するなかで、従業員は、攻撃が起こっている兆候を見つけ、会社のセキュリティチームに連絡をとる方法を知る必要がある、とセドヴァは言う。
多くの従業員は、リンクをクリックすることに慎重だ。しかしほとんどの従業員は、AI(人工知能)によってより巧妙になり、発見が難しくなった新しいフィッシング技術にあまり気がついていない。「よりパーソナライズされ、よりタイムリーで、より関連性が高く、文法的にもより間違いがないようにすることが、より簡単にできるようになっている」とセドヴァは言う。
以下では、4つの手強いサイバー攻撃を紹介する。組織は、従業員がこうした攻撃に対抗できるようが支援するべきだ。
1. クイッシング(QRコード詐欺)
攻撃者は、従業員にリンクをクリックさせる代わりに、QRコードを使って、悪質なウェブサイトにリダイレクトさせたり、有害コンテンツをダウンロードさせたりする。「この種の攻撃は、1日に約4万7000件検出されている」とセドヴァは言う。
2. スピアフィッシング
スピアフィッシング攻撃は、「銀行口座を持つすべての人」といった標的ではなく、技術文書や金融送金情報など、特定の専有情報にアクセスできる個人を狙う攻撃だ。AIの登場で、この種の攻撃の検知が難しくなっている、とセドヴァは指摘する。攻撃者は、LinkedIn(リンクトイン)のプロフィルを使って、個人をターゲットにしたスピアフィッシング攻撃を仕掛けることができる。シニア・エンジニアリーダー、経理部門の従業員、最高財務責任者(CFO)などがターゲットになることが多い。