フィッシングのシミュレーションは、フィッシング攻撃を認識して対応する組織の能力をテストするサイバーセキュリティー演習です。
フィッシング攻撃とは、人々を騙してマルウェア(ランサムウェアなど)をダウンロードさせたり、機密情報(ユーザー名、パスワード、クレジットカード情報など)を漏洩させたり、間違った相手に送金させたりすることを目的とした詐欺のEメール、テキスト・メッセージや音声メッセージです。
フィッシングのシミュレーションでは、従業員は実際のフィッシングを模倣したフィッシング・メール(またはメールや電話)を受け取ります。このメッセージは、同じソーシャル・エンジニアリングの手口(例えば、受信者の知り合いや信頼する人物になりすましたり、緊急感を煽るなど)を使って受信者の信頼を得て、不用意な行動を取らせるように操作します。唯一の違いは、おとりに乗った受信者(悪意のあるリンクをクリックしたり、悪意のある添付ファイルをダウンロードしたり、不正なランディング・ページに情報を入力したり、偽の請求書を処理したりするなど) は、組織に悪影響を与えることなく、テストに合格するだけであることです。
場合によっては、偽の悪意のあるリンクをクリックした従業員は、模擬フィッシング攻撃の被害に遭ったことを示すランディング・ページに誘導され、今後、フィッシング詐欺やその他のサイバー攻撃をより的確に見分ける方法に関する情報が提供されます。シミュレーション後、組織は従業員のクリック率に関する指標も受け取り、多くの場合、追加のフィッシング意識向上トレーニングでフォローアップします。
近年のデータによると、フィッシングの脅威は増加し続けています。2019年以降、フィッシング攻撃の数は、年間で150%増加しており、Anti-Phishing Working Group(APWG)は、2022年度に過去最高を記録し、470万を超えるフィッシング・サイトを記録したと報告しています。Proofpoint社の報告では、2022年の間に、84%の組織が少なくとも1回以上フィッシング攻撃を受けました。
最高のEメール・ゲートウェイやセキュリティー・ツールであっても、あらゆるフィッシング攻撃から組織を保護することはできないため、多くの組織がますますフィッシングのシミュレーションを重視するようになっています。よく練られたフィッシングのシミュレーションは、2つの重要な理由でフィッシング攻撃の影響を軽減するのに役立ちます。シミュレーションにより、セキュリティー・チームは実際のフィッシング攻撃をより適切に認識して回避できるように、従業員を教育するための情報が得られます。また、セキュリティー・チームが脆弱性を正確に特定し、全体的なインシデント対応を改善し、フィッシング攻撃が成功した場合のデータ侵害や金銭的損失のリスクを軽減するのにも役立ちます。
フィッシング・テストは通常、IT部門またはセキュリティー・チームが主導する広範なセキュリティー意識向上トレーニングの一環として行われます。
このプロセスには通常、次の5つのステップが含まれます。
これらの手順を完了したら、多くの組織はフィッシングのシミュレーション結果を要約した包括的なレポートを作成して、関係者と共有します。また、サイバーセキュリティー意識を高めて、進化するサイバー脅威の先へ行くために、シミュレーション・プロセスを定期的に繰り返す前に、シミュレーションで得たインサイトに基づいて、セキュリティー意識向上トレーニングを改善する場合もあります。
フィッシングのシミュレーションを実施するにあたって考慮すべき点は、次のとおりです。
フィッシングのシミュレーションとセキュリティー意識向上トレーニングは重要な予防策ですが、セキュリティー・チームには、フィッシング攻撃が成功した場合の影響を軽減するための最先端の脅威検知および対応能力も必要です。
IBM QRadar SIEMの詳細はこちら