従業員の意識向上一般的な企業向けフィッシング詐欺

フィッシング詐欺は、今日のデジタル社会においてますます蔓延しており、個人と組織を問わず大きな脅威となっています。このような詐欺の手口は、疑うことを知らない個人を騙して、機密性の高い個人情報を漏らすように設計されており、多くの場合、悪意を持って行われます。

企業の場合、こうした攻撃は従業員を騙してリンクをクリックさせたり、添付ファイルをダウンロードさせたりして、マルウェアを実行させたり、サイバー犯罪者が機密データにアクセスできるようにします。従業員は、フィッシング詐欺の種類を知っておく必要があります。そうすることで、システムのダウンタイム、金銭的損失、風評被害、あるいはその3つ全てにつながることで、ビジネスへのダメージを軽減することができます。

ここでは、従業員が注意すべき5つの一般的なフィッシング詐欺を紹介する：

詐欺その1：人事メッセージ詐欺

HRメッセージ詐欺は、詐欺師が会社の人事部を装い、ポリシーの更新や会社の福利厚生について従業員にメールを送るものです。

通常、メールには緊急性があり、リンクをクリックしたりファイルをダウンロードしたりする行動を従業員に要求する。このようなメールを受信した場合、機密情報が漏洩する可能性を避けるため、先に進む前にその真偽を確認することが不可欠です。

従業員は人事部に直接連絡するか、メールを部署に転送して確認してもらってください。

詐欺その2：異常な行動

これはフィッシング詐欺で、従業員のアカウントに不審な動きがあったことを知らせるメールが届きます。このメールには、誰かが従業員のアカウントにアクセスしようとしたと書かれていることが多く、通常、パスワードをリセットするためのリンクをクリックするよう促します。

このような異常なアクティビティ詐欺は、アカウントがハッキングされたのではないかという従業員の恐怖心を利用し、すぐに行動を起こすよう促す。このようなメールは、対応したり行動を起こしたりする前に、IT担当者やセキュリティ担当者と照合する必要がある。

詐欺その3：グーグル・ドックス

Googleドキュメント詐欺は、疑うことを知らない従業員がGoogleドキュメントを通じてドキュメントを編集するための招待メールを受け取ることから始まります。リンク先には偽のGoogleログインページがあり、詐欺師は従業員のGoogleアカウントにアクセスすることができます。

招待メールの送信先は、おそらく会社のドメイン内ではないため、社外の誰かからのメールと思われる。会社のドメイン外からの招待メールには用心することが肝心です。

詐欺その4：メールアカウントのアップグレード

この詐欺では、従業員がメールアカウントのアップグレードが必要であることを示すメールを受け取ることがよくあります。

このメールは一見正当なもので、従業員がアカウントをアップグレードするためにクリックすべきリンクが記載されています。しかし、リンクをクリックするとマルウェアがダウンロードされ、詐欺師がシステムに保存されている機密情報にアクセスできるようになる可能性があります。従業員のメールアカウントをアップグレードする責任があるのは、メールサービスプロバイダーではなく、IT部門であることに注意する必要があります。

詐欺その5：偽の請求書

もう1つのよくあるフィッシング詐欺、偽の請求書は、従業員を騙して詐欺師に偽の請求書を支払わせるものです。

これらの詐欺請求書は、ベンダーから発信されているように見え、従業員は添付ファイルを開くか、リンクをクリックして請求書の詳細を確認する必要があります。しかし、これらの添付ファイルには、組織の業務をフリーズさせたり、システムから機密情報を抜き取ったりするマルウェアが含まれていることがあります。このような詐欺を避けるために、従業員はすべてのベンダーの電子メールを確認し、見慣れない添付ファイルを決してクリックしないようにしなければなりません。

予防がカギ

フィッシング攻撃は企業社会に蔓延しており、これらから身を守る唯一の方法は、常に警戒を怠らず、一般的な詐欺の情報を入手することです。

従業員は組織の最前線にいるため、フィッシング詐欺の主な標的となります。フィッシング攻撃の被害から組織を守るのは、関係者全員の連帯責任です。さまざまなタイプの攻撃とその発見方法、回避方法について従業員を教育することは、こうした詐欺に対する防御の第一線である。

情報へのアクセスがより身近になるにつれ、サイバー犯罪者はその手法や戦術を変化させ、機密データにアクセスするためのこれまで以上に巧妙な方法を模索している。したがって、全従業員に情報を提供し、潜在的なスキームを認識させるためには、定期的なトレーニングとセキュリティ・チェックが不可欠です。