この攻撃では、ダークウェブ上に漏洩したVPNの認証情報を利用したとされており2段階認証の設定がされていたものの、攻撃者はSNSで担当者に連絡を行い、2段階認証を承認させログインを行ったとされています。
被害企業は企業データなどへのアクセスは無かったとしていますが、システムの調査を行うために一時的にサービスが停止するなどが発生しました。
一般的には2段階認証や多要素認証はフィッシングなどの攻撃に有効な手段とされていますが、上記企業の様に担当者が承認してしまうと有用な対策であっても無意味になってしまいます。
これまでのニュースレターでは主に機器に対するセキュリティ対策やサイバー攻撃の手法についてお伝えしてきましたが、今回は「人」をターゲットとして行われるサイバー攻撃とセキュリティ対策としてKnowBe4の無償キットをご案内します。
「人」のセキュリティ対策をしてみませんか?
一般的にサイバー攻撃と想像すると、ネットワーク機器やアプリケーションなどに対する攻撃を思い浮かべる方が多いと思います。
しかし、その攻撃の前段階として「人」を標的としサイバー攻撃に必要な情報収集が行われています。
今回はサイバーセキュリティ意識向上トレーニングに有用なリソースをご紹介します。
KnowBe4が提供する無償サイバーセキュリティリソースキットとは?
サイバーセキュリティ意識向上月間は、米国国土安全保障省とNCSA(National Cyber Security Alliance)が2004年から開催しており、
サイバーセキュリティの意識を高め、個人のデータなどをサイバー攻撃から保護できる様にすることを目的として毎年10月に開催されます。
日本では内閣サイバーセキュリティセンター(NISC)が主導し、毎年2月1日~3月18日に開催しています。
【製品URL】
無償サイバーセキュリティリソースキットの内容
無償サイバーセキュリティリソースキットには、セキュリティ意識向上のためのトレーニングの他にも、 社内でセキュリティ意識向上の告知に利用できるポスターやデジタルサイネージ、新たに作成する場合も利用しやすいイラストや画像などが含まれています。
「人」を狙ったサイバー攻撃の巧妙化
サイバー攻撃の典型としては、ネットワーク機器やOSなどの脆弱性を利用して攻撃の足掛かりとする場合が多いですが、新型コロナウイルス感染症拡大の影響もあり、フィッシングメールなどを用いて「人」を狙うサイバー攻撃が増加しています。
フィッシングメールによる攻撃手法は一般的に浸透しつつある一方で、メールの文面だけで判断が困難な場合や、記載されているURLの偽サイトが精工になっているなど手口が巧妙化しています。
また、ソーシャルエンジニアリング攻撃では、社内の担当者を装い電話やSNSなどから機密情報を搾取することもあります。
近年ではセキュリティ製品の導入や脆弱性の調査などを行う企業が増えていますが、「人」が扱う以上、意識していない方法からセキュリティ事故につながる可能性があります。
対策としては、定期的かつ継続的にセキュリティ意識向上トレーニングを行うことが理想的ですが、定期的な実施にはトレーニング内容の検討や作成などコストがかかります。
KnowBe4の無償サイバーセキュリティリソースキットでは、容易にトレーニングを利用できるため、セキュリティ意識向上トレーニングをご検討の方やKnowBe4にご興味がある方はぜひお問い合わせください。