メールセキュリティで「インサイダー脅威」というと、悪意のある従業員を思い浮かべてしまいますが、実際はより複雑な問題です。Verizonの2020年度データ漏洩調査報告書によると、2019年のデータ漏洩の30パーセントが内部攻撃者によって引き起こされました。しかしながら、漏洩事件の22パーセントは間違い、8パーセントは特権の誤用が原因でした。
Verizonの報告書から、インサイダー脅威の影響は現実のものだが、悪意のある従業員はこの問題のごく一部に過ぎないことが分かります。漏洩問題の94パーセントは、従業員が仕事中かなりの時間を費やすメールから始まります。フィッシングからマルウェア、ランサムウェアまで、最も一般的なメール攻撃において、従業員は攻撃を受けやすく、偶然または意図的に組織全体に脅威を拡散してしまう可能性があります。
どのように従業員がインサイダー脅威になるのか
悪意のある従業員は別として、優秀な従業員がうっかりインサイダー脅威になってしまう場合がいくつかあります。以下はそのいくつかの例です。
トレーニング不足
サイバーセキュリティ意識向上トレーニングは増加しつつありますが、多くの企業が自社の従業員に重要な意味のある投資を行っていません。トレーニングが十分でなかったり、まったくトレーニングを受けていない従業員は、組織の至るところで機密情報を盗み出したり、マルウェアやその他の脅威をまき散らしたりするフィッシングリンクや添付ファイルをクリックしてしまう傾向が高くなります。
悪意のあるリンクとファイルの共有
悪意のあるメールに気づかない従業員は、うっかりそれを他の従業員と共有してしまう可能性があるばかりか、実行してしまいます。最も有名なインサイダー脅威の一つは、2016年の米国大統領選挙中に起きた、ヒラリー・クリントンのヘルプデスク管理者が選挙キャンペーンのチーフにGoogleのフィッシングメールを転送した事件です。そのフィッシングメールは、クリントン陣営の選挙対策責任者ジョン・ポデスタに彼のメールパスワードを変更するように警告するGoogleからの偽のサインイン試行警告でした。彼はパスワードを変更し、その先は皆さんご承知の通りです。
既知の脅威の報告を怠る
メール脅威に気づいた時にそれを報告することは、組織全体に攻撃が蔓延する前に食い止める最善の方法の一つです。残念ながら、フィッシングメールやその他の脅威を見分けるトレーニングを受けたユーザーも、すぐに脅威を報告しません。実際に、トレーニングセッションを受ける間隔が長くなるほど報告率が低下します。フィッシングメールの報告率はたったの17パーセントです。
リンクと添付ファイルをクリックする
組織の46パーセントが、2019年にマルウェアがメールを介して組織内に配信されたと報告しています。Office文書は、マルウェアの配信に使われる最も一般的なファイルのタイプで、フィッシングは最多の攻撃媒体でした。リンクや添付ファイルをクリックするユーザーは、マルウェアやランサムウェアだけでなく、フィッシングによって従業員のアカウントを侵害してからMicrosoft 365などのビジネスアプリケーション内でさらに攻撃をしかけるハッカーによるインサイダー攻撃をまき散らす可能性があります。
インサイダー脅威対策
セキュアEメール・ゲートウェイ(SEG)は、依然として最も一般的なメールセキュリティソリューションの一つですが、クラウド内のインサイダー脅威に関しては限界があります。まず、SEGはMicrosoft 365などのクラウドベースのメールシステムの外部に配置されています。組織の内部でやり取りされるメールはテナントを離れることがないため、多くのSEGは社内メールをスキャンできません。一部のSEGはインサイダー脅威を検出するための別製品を提供していますが、これらは基幹となるメールフィルターの統合コンポーネントではなく、MSPや顧客に追加のコストと複雑性をもたらすことになります。
Microsoft 365のユーザーの場合、Microsoftとネイティブに統合されるAPI連携のソリューションは、テナントの外部からのメールと同様に、社内メールをリアルタイムでスキャンします。悪意の有無に関わらず、メールベースのインサイダー脅威をスキャンして、悪意のある添付ファイルやリンク、スピアフィッシング攻撃で使われるプリテキストやソーシャルエンジニアリングのような不審な行動の有無を調べます。
さらに、IDとアクセスの管理(IAM)ツールは、攻撃の前後の両方で不審な行動をモニタリングできます。例えば、 MFAやAzure AD Identity ProtectionのようなIAMツールは、あり得ない旅先からのログインや実際の従業員の現在地から遠く離れた所からのログイン試行を検出できます。これは不許可のログインが試行された時の最初の兆候であることが多く、すぐに通知されます。
「Protecting Email Compromise Phishing(フィッシング詐欺からメールを守る)」の中でGartnerは、アカウントの乗っ取りが頻繁に起こる Microsoft 365を保護するためにIAMツールが特に重要だと述べています。Microsoft 365のパスワードが侵害されると、例えば、MFAはプッシュ通知やワンタイムパスワードなどの方法を用いてアカウントが乗っ取られる可能性を軽減できます。
Vade for Microsoft 365は、APIを介してMicrosoft 365にネイティブに統合され、内部のメールトラフィックの分析を可能にします。Vadeのコンテンツフィルターは、世界中で10億個のメールボックスを保護し、当社のマシンラーニングアルゴリズムがフィッシング、マルウェア、ランサムウェア、スピアフィッシングを検出して阻止するための訓練に使われる脅威インテリジェンスとユーザーフィードバックを提供します。
