Skip to main content

セキュリティ意識向上トレーニング:フィッシング攻撃を検出する方法

サイバー
December 20, 2024

本サイト上のコンテンツは、参照目的だけのために、英語の原本から翻訳されたものです。また、本サイト上のコンテンツの一部は機械翻訳されたものです。日本語版と英語版の間に何らかの齟齬がある場合には、英語版が優先されます。
当社は改善のためのあらゆる努力を行いますが、翻訳の正確性及び信頼性は保証せず、当社に故意または重大な過失がある場合を除き、不正確性又は遺漏により生じる損失又は損害に責任を負わないものとします。

パスワードセキュリティに関する前回の記事で述べたように、ITセキュリティリスクを理解し、それを防ぐための行動を起こすリスクを最小限に抑えた従業員は、ITセキュリティパズルの重要なピースです。パスワードの選択方法とパスワードの更新時期に関するポリシーを設定した後、偽の電子メールアドレスとURLを特定できるようにすることで、エンドユーザーはサイバーセキュリティの脅威に対して警戒することができます。

プロアクティブなトレーニングは、すべての従業員がサイバーセキュリティ戦略で自分の役割を果たせるようにするための重要なステップです。この記事では、偽の電子メール アドレスと偽の Web サイトを見分ける方法と、より良いセキュリティ意識向上トレーニングのためのプロのヒントをいくつか紹介します。

偽のメールアドレスを見分ける方法

メールはどこから来たのですか?偽の電子メール アドレスは、エンド ユーザーをだまして快適さ、安心感、正当性を感じさせようとします。メールを受信しているドメインは意味がありますか?組織のドメインと整合性がありますか?

偽の電子メール アドレスを特定する 2 つの方法を次に示します。

1. @記号の後には何が来ますか?

前述のように、正規の電子メール ドメインは組織の Web サイトの URL と一致します。安全でないメールドメインと安全でないメールドメインの例を次に示します。

  • 金庫: @chase.com
  • 安全でない: @chasebank.com

一見すると、これは合理的で安全なドメインのように思えます。ただし、ドメインが組織の Web サイトにアクセスするために Web ブラウザーに入力するものと異なる場合は、詐欺的な電子メール アドレスである可能性が高くなります。

2. メールにはどのような名前が表示されますか?

インターネットユーザーの本名は、電子メールでのコミュニケーションに関しては何の意味もありません。アカウント作成時に知的財産やメール名の制限はありません。実際、多くの正規の企業は、オプトイン ポリシーなしで電子メールの悪用としてフラグが立てられるのを避けるために、配布リストに戻るだけのマーケティング メールに架空の名前を作成しています。

誰でも他人の名前で電子メール アカウントを開設でき、送信者が正当に本人であるかどうかを判断するためのチェック アンド バランスはありません。そのため、ドメインは非常に重要であり、一意の IP アドレスに関連するドメインの登録プロセスがあるため、内部アクセスなしではコピーできません。

メールセキュリティ意識向上トレーニングのプロのヒント

現在利用可能な多くのフィッシング認識ツールの1つを利用して、ユーザーの教育とテストの両方を行います。これが一度きりの練習ではなく、年間を通じて行われるものであることを確認してください。人は忘れたり気を散らしたりしますが、継続的なトレーニングによってのみ気づくことができます。

偽のウェブサイトを見分ける方法

サイバーセキュリティのリスクを軽減する簡単な方法の 1 つは、Web ブラウザのアドレス バーに注意を払うように従業員をトレーニングすることです。

ブラウザに注意を払い、次の質問をして偽の Web サイトを特定してください。

  • 接続は安全ですか? アドレスバーの左端を見てください。Safari、Chrome、Firefox を使用している場合は、接続が安全であることを示す南京錠のアイコンが表示されます。
  • まだ Internet Explorer (IE) を使用している場合は、偽の Web サイトの被害に遭うリスクが高くなります。 特にMicrosoftがIEを正式に廃止したことを考えると。はるかに安全なブラウザ、特にFirefoxは他にも無数にあります。安全なブラウジングは、ドメイン スプーフィングの問題や、悪意のある Web サイトに由来する可能性のあるその他の問題を軽減するのに役立ちます。
  • Secure Socket Layer(SSL)/Transport Layer Security(TLS)証明書は、脅威アクターが取得しやすくなったため、「南京錠」戦略だけでは十分に効果的ではありません。ロックアイコンは防弾ではなく、後続の残りのポイントと組み合わせて使用する必要があります。

ブラウザに「接続はプライベートではありません」というメッセージが表示された場合は、停止してください。

blog_security-awareness-training-how-to-detect-phishing-attacks_1.png

これは、SSL/TLS 接続に問題があり、信頼すべきではないことを意味します。URL はどこから来たのですか?

1. URL は意味がありますか?

偽の Web サイトを特定するには、偽の電子メール アドレスを特定するのと同じ戦略を使用します。.comや.orgなどの前のURLの主要部分は、文字と数字のアルファベットスープであってはなりません。メインサイトのドメイン発信元と組織から受信するメールが一致している必要があります。

パーソナルバンキングに関連する例は次のとおりです。

  • 安全: chase.com/creditcardoffer
  • 安全でない: chasecom.ru/creditcardoffer

脅威アクターは、多くの場合、特殊文字や正しい Web サイトに似た文字の組み合わせを組み込むなど、巧妙な方法で意図的に URL をマスクしようとします。よく見ないと、リンクが読み込まれなかったり、デッドページに移動したりした場合でも、リンクをクリックしてデバイスにマルウェアをインストールするように誤解されやすい可能性があります。また、URL 短縮は、悪意のある行為者が Web サイトの本当の URL を隠すために頻繁に使用するものであるため、投稿や電子メールでクリックする場合は十分注意してください。

2. リンクはメールで届きましたか?

もしそうなら、クリックしないでください。これは極端に聞こえます。また、遅くて時代遅れに聞こえます。しかし、検証は警戒の柱です。メールを送った連絡先がアドレス帳にあったとしても、フィッシングされている可能性があります。

  • クリックする前に連絡先に連絡してください。 一般的には通話が望ましい。メールを送信する場合は、必ず新しいメールを開いて、最後のメールが正当なものであったことを確認してください。メールに直接返信すると、悪意のある送信者と連絡を取り、悪意のある送信者はあなたを誤解させるために熱心に取り組んでいます。
  • 送信者に連絡するまでメールを開かないでください。 特にそれが内部ソースからのものである場合。これは、より強力なサイバーセキュリティ文化を生み出すだけです。このトレーニング演習は、不必要または遅いように思えるかもしれませんが、このステップに関するものです。サイバーセキュリティの問題とその認識が広く議論されれば議論されるほど、ITチームやセキュリティチームでなくても、典型的な日常のやり取りにおいてサイバーセキュリティが優先されるようになります。

セキュリティ意識向上トレーニングに関するシリーズ全体をご覧ください。

ITスキルを向上させる準備はできていますか? CompTIA認定とトレーニングをチェックしてください