JAPHICマーク取得企業では、個人情報の保護を徹底するために、あらゆる脅威への対策を取る必要があります。
またその脅威の一つに、テレワークの普及などによって増加し始めたラテラルフィッシングが挙げられます。
今回はラテラルフィッシングの概要と、JAPHICマーク取得企業における対策について解説します。
従来のフィッシング詐欺の手法
従来のフィッシング詐欺は、銀行やカード会社、ECサイトなどを騙った電子メールやSMSなどを無作為に送りつけ、偽サイトのURLに誘導するというものです。
メールのアカウントや内容は本物そっくりのもので、偽サイトに誘導されてしまうと、企業が持つさまざまな情報を窃取されます。
しかし従来のフィッシング詐欺については、怪しいメールを開かないことや、安易にURLをクリックしないことなどで対応できました。
ラテラルフィッシングの手法
ラテラルフィッシングは、まず有名企業や社会的信頼度が高い企業で実際に使用されているメールアカウントのID、パスワードをフィッシングによって入手します。
こうして乗っ取ったアカウントを悪用し、別組織へ攻撃を拡大していくというものです。
従来のフィッシング詐欺とは違い、なりすましではなく、実際に利用者が存在する正規のアカウントから攻撃が行われます。
そのため、企業は従来のフィッシング詐欺と同じ方法では対処できません。
例えばメールアドレスが適切なものかどうか検索しても、実際に使用されているものであることから、本当に有名企業から送付されたものだと勘違いしてしまうことがあります。
ラテラルフィッシングの被害に遭ったらどうなる?
JAPHICマーク取得企業がラテラルフィッシングの被害に遭った場合、非常に危険な状態だと言えます。
ラテラルフィッシングの場合、すでにメールアカウントが悪用されていて、サイバー攻撃者はメールアカウント周辺に対して一定の情報を有しています。
そのためラテラルフィッシングで取得された機密情報や個人情報は、狙いを定めた攻撃であることが多く、悪用される可能性が高いです。
具体的には、さらなるラテラルフィッシングに利用され、まるでJAPHICマーク取得企業が攻撃を行ったかのように仕立てられることが考えられます。
JAPHICマーク取得企業におけるラテラルフィッシング対策
JAPHICマーク取得企業が実施すべきラテラルフィッシングへの対策としては、主に以下の3つが挙げられます。
・ログインの2要素認証
・不正なDNSやURL検出のソリューション導入
・複数の情報セキュリティシステムの導入
2要素認証は、知識要素・所有要素・生体要素のうち、2つ以上の異なる要素を組み合わせて行う認証です。
例えば、ログインにパスワード(知識要素)とワンタイムパスワード(所有要素)の2つが必要になるようなケースです。
ラテラルフィッシングによってアカウント情報を窃取されても、2要素認証にしておけば、他の要素を持っていない攻撃者にアカウントを乗っ取られるリスクを下げられます。
またJAPHICマーク取得企業は、従業員が万が一不正なURLをクリックした場合でも、アクセスを検出したりブロックしたりできるようにしなければいけません。
このようなケースでは、DNS通信を傍受して不正なDNS、URLを検出してくれるソリューションが便利です。
その他、メールフィルタリングやWebフィルタリングなど、複数のセキュリティシステムを導入することで、よりセキュアな環境を構築できます。
UTMであれば、これらのシステムを効率良く導入できます。
まとめ
JAPHICマーク取得企業の中にも、コロナ禍などをきっかけにテレワークが増加した企業はあるでしょう。
テレワークは業務効率の向上や従業員の負担軽減などにつながりますが、一方で外部からの攻撃に弱い側面があります。
そのため従業員がラテラルフィッシングの被害を受けないように、十分な対策を取り、従業員教育も徹底しなければいけません。
