「メール訓練による教育は欠かせない」そのワケは?
先述したようにフィッシング攻撃やディープフェイクが巧妙化するなか、企業はセキュリティ意識向上のための教育・訓練やポリシー強化などで対抗しようとしている。「これからの組織は『教育』と『検出』の両軸で対策を講じることになります」とクラック氏。同氏が関係者と議論するなかで、印象に残っている言葉があるという。
それは「メール訓練は年に一度ほど実施しており、クリック率は50%と高いが、あまり気にしていない。従業員がクリックしてしまうのは避けられないため、検出に注力している」という、とある組織のセキュリティ担当者による発言だ。
こうした割り切りについて「とても危険だ」とクラック氏は指摘する。そのポイントは2点ある。1点目は、メール訓練のクリック率が半数に上るということは、従業員への教育が適切に行われていないことを示していることだ。クラック氏は「メール訓練でクリック率は1%まで下げられます。そもそも10%以上という数字は、やり方自体に問題があるでしょう」と話す。
2点目は、フィッシングが成功しやすい組織は大きなリスクを抱えることになることだ。たとえばクリック率が2%と50%となったとき、50%の企業を狙った方が管理者権限などの重要なアカウントを窃取できる確率も高まる。クリックしてしまうのは避けられないと諦めている企業は、攻撃者から見ると“脇の甘い組織”と目されることにもなりかねない。
加えて、ディープフェイクのリスクについてもクラック氏は言及する。日本におけるディープフェイクといえば、対岸の火事と捉える担当者は少なくないが、海外では深刻な被害をもたらしはじめている。
たとえばイスラエルの大手銀行で起きた、なりすまし攻撃が好例だ。攻撃者は銀行幹部の講演から得た音声を学習させて、幹部に似せた合成音声を作成。銀行関係者に「このクライアントに緊急の送金が必要だ」と通話アプリを通じて合成音声で送金指示をした。メールではなく、音声による指示だと騙されてしまう人も多く、偽の音声(あるいは動画)を使用した攻撃は増えていくと予測される。
あるいはフェイクニュースで、多くの人を混乱に陥れるような攻撃も指摘されて久しい。たとえば特定の政治家になりすまし「災害が発生した」と発表する動画を拡散することで世間をパニックに陥れ、株価を下落させるなどの経済・社会的な影響を与えるといったものだ。クラック氏は「欧米の企業・組織は、フィッシングやディープフェイクによるリスクを十分に理解しています。今まさにこうしたリスクへの対抗策を考えるタイミングが到来しているのです」と述べる。
