新しい仕事を始めると、この良い知らせを共有しようとします。LinkedInからTwitterまで、新入社員は自らの初出勤日、勤務先の所在地(移転計画を含む)、新しい役職名などを公開します。それらには、ハッカーが企業を騙すために用いる標的型のスピアフィッシング攻撃を作成するために知るべきすべての情報が詰まっています。
新入社員は仕事の状況をソーシャルメディアで公表する
多くのユーザーはパスワード、社会保険番号、クレジットカード番号などの機密情報が闇市場に漏洩することに不安を抱きますが、盗まれたものであれ、公表されているものであれ、ユーザープロフィールもハッカーにとっては同等の価値があります。
ソーシャルメディアは、ハッカーが利用できる被害者に関する重要なデータベースを提供します。新入社員が新しい仕事の状況を共有するだけではなく、彼らのソーシャルプロフィールには、教育(教養の高さ)、経験(判断力)、興味(感情)などに関して結論を下すために必要な豊富な情報が含まれています。
これらすべての情報はスピアフィッシング攻撃を成功に導くために不可欠です。アマチュアのサイバー犯罪者が無差別に従業員にメールを送信して、その従業員が実行できないかもしれない要求を突きつける一方で、洗練されたハッカーは、慎重にソーシャルプロフィールを引き出して、戦略的に標的にすべき従業員を選びます。
ユーザーのプロフィールを使って、サイバー犯罪者はその従業員の会社での役割やどのシステムへのアクセス権を持っているのか、さらには購入、請求書の支払、振込口座の変更、電信送金など、特定の要求に適した地位にあるのかどうかを把握します。
新入社員は他の社員や処理についてよく知らない
新しい仕事を始めたばかりの最初の数週間は、従業員が攻撃を受けやすい時期です。職務によっては、新入社員には何が典型的なことで、何がそうではないのか、特に、手続きと同僚に関しては、よくわからない場合があります。
CEOが中堅のマネージャーにメールで緊急の「助け」を求めることはあるでしょうか? 5,000人の従業員を抱える企業では、おそらくあり得ないことでしょう。では、従業員50人の中小企業ではどうでしょうか?あり得ることです。それは、新入社員にはまだ理解しきれていないその企業の社風によります。
同様に、新入社員は同僚の仕事上の役割や性格、つまり、彼らがどんな行動を取ったり、何を発言したり、要求したりするのかを完全に把握できていません。新入社員は、財務部のジョンが出張することなど絶対にないということも、「顧客を訪問するために飛行機に乗るところ」だからといって、緊急のメールを送信して業者に即座に支払をするように要求したりはしないということも知りません。
新入社員はまた、どのような抑制と均衡が実行されているのかを完全に理解できていないかもしれません。すべての請求書に上級幹部の誰かの承認が必要なのでしょうか?従業員が給与振込用の銀行口座を変更する際には、新しい用紙に記入しなければならないのでしょうか、それとも、単にメールで変更依頼をすれば十分なのでしょうか?理想を言えば、従業員はトレーニングでこれらの質問にどう答えるべきかをすでに学んでいるか、もしそうでない場合には、彼らが質問できる体制が作られているべきです。
【関連項目】ギフトカード詐欺:他人事はないスピアフィッシング攻撃
新入社員は気に入られたいだけでなく、ミスをすることを非常に恐れる
新入社員は良いところを見せたい、つまり、自分を雇ったのは正しい判断だったと証明したいと思っています。重要な人物と認識されている、または実際にそうである人からメールで依頼を受け取ったら、従業員はその依頼を直ちに実行しなければならないというプレッシャーを感じるかもしれません。緊急性は特に動機付け要因となりますが、同様に不安にさせる作用もあり、私たちの判断に影響を与えることがあります。
スピアフィッシング攻撃では、緊急性によって被害者は、高等教育を受けた職業人から送信されたとされるメールにぞんざいなスペルミスがあるようなスピアフィッシングのわずかな兆候、または、メールのなりすましのようなスピアフィッシングの明らかな兆候を見逃してしまうことがあります。
中には、スピードと効率を示そうとして、すばやくその依頼を遂行してしまう新入社員もいるかもしれませんが、その他大勢は、その依頼を即座に遂行しなかった場合の結果を恐れて依頼を遂行します。ここでは、プレッシャーが要点であり、それが標的型のスピアフィッシング攻撃を成功に導く要因でもあります。
[インフォグラフィック]スピアフィッシングメールを見分ける方法を知る
従業員を守る
スピアフィッシング攻撃は常に金銭的な性質のものであるため、請求書の支払い、電信送金、口座振込の変更のいずれの場合でも、金銭取引を開始したり、修正したりするために必要な処理と手続きに関するトレーニングを新入社員に対して実施しなければなりません。これは特に働き始めの時期に実施することが重要であり、新入社員が緊急という名目で間違った判断を下してしまう可能性を制限するのに役立ちます。
新人研修には時間がかかります。残念ながら、セキュリティに関する意識向上トレーニングは常に出勤初日に行われるわけではありません。しかし、従業員にできる限り早くトレーニングを受けさせることが重要です。トレーニングは継続的に行われるべきであり、年に一度のトレーニングセッションにまとめてしまってはいけません。しばしば、トレーニング後数ヵ月が経過すると、従業員はトレーニングで得た情報を忘れてしまうことがあるからです。
最後に、サイバーセキュリティを企業文化に組み入れましょう。それを常に念頭に置かなければなりません。スピアフィッシング攻撃はさらに普及しつつあり、経験豊かな従業員でも見破るのがますます困難になってきています。
