ニュース

グーグル、「フィッシング対策は消防訓練を参考にしよう」

 Google(グーグル)は、現在行われているフィッシングテストの問題点について、消火防災訓練が高度化した経緯にあわせて解説した上で、適切なフィッシング対策について例をあげて紹介している。

初期の防火防災訓練の問題点

 19世紀末から20世紀初頭にかけて、大きな火災が立て続けに発生したことから、市民は新たな対策を求めた。当初、専門家の間では火災の避難訓練にフォーカスがあてられ、あたかも現実の火災が発生したかのように、不意打ちで訓練が行われることがあった。

 初期のテストでは、生存率の向上よりも訓練に参加した人がケガをする可能性の方が高かったという。ビル火災に遭った人々の生存率が向上し始めたのは、より広いドア、出口の手押しバー、防火帯、照明つきの避難口標識などの設備が導入されてからである。

 防火技術が年々進化し、スプリンクラーの設置が法律で義務付けされるなど改善が続けられるにつれて、火災からの生存率は着実に向上し続けた。また訓練は事前に通知され、高度な訓練や避難計画へと進化していった。

フィッシングテストの課題

 翻って、現在のフィッシングテストは初期の火災訓練に非常に似ているという。

 Googleでは、米国のFedRAMPに基づいた訓練を毎年実施している。これらの必須訓練ではセキュリティチームがフィッシングメールを作成して、Googleの従業員に送信、メールに騙された人数をカウントして、フィッシングに騙されない方法を教育する。通常、訓練に不合格となった従業員にはさらなる教育が実施される。

 FedRAMPの訓練ガイダンスによると、ユーザーは最後の防衛線であり、訓練を受ける必要があるとされている。

 これらの訓練は、ビル火災への対策として行われた初期の火災訓練に似ていて、個人が危険を認識して、個々に”適切な”方法で対応することが求められる。失敗は、システムの問題ではなく個人の失敗であると言われる。

 さらに悪いことに、FedRAMPのガイダンスでは、フィッシングのリンクに引っかかる可能性をわざと最大化するために、システム的なコントロールを省略または排除するように求めている。

フィッシングテストの副作用

 この訓練の有害な副作用には、次のようなものがある。

 そもそも、訓練によってフィッシング攻撃の成功率が下がる証拠が無い。フィッシングやソーシャルエンジニアリングによる攻撃は、企業に攻撃のきっかけを築くための最重要な手段であるが、調査によると、これらの訓練は人々が騙されることを効果的に防げていない。

 1万4000人を対象とした研究では、フィッシングテストによる逆効果が示され、騙されるユーザーは、繰り返して騙され続けることがわかったという。

 FedRAMPなどの一部のフィッシングテストでは、既存のフィッシング対策を回避することが要求されるが、これによって侵入テストチームが最新の攻撃手法を取り入れる必要がなくなり、テストを簡単にするために設定された許可リストが誤ってそのまま残されることで、攻撃者によって実際に攻撃されるリスクが生じる。

 また、こうしたテストが行われる間、ユーザーから不要なレポートが何千件も寄せられることで、検出およびインシデント対応チームの負荷が著しく増加した。

 従業員は、テストに対して腹を立てるようになり、セキュリティチームがその他の従業員を騙しているように感じてしまう。これによって、セキュリティチームが有意義な改善を行うための信頼関係が損なわれるほか、実際のセキュリティイベント発生時に、迅速なアクションを取るための信頼関係が失われてしまう。

 複数の独立した製品を持つ大企業では、必要とされるフィッシングテストが重複してしまい、繰り返し負担が強いられる。

価値のある対策とは?

 フィッシング詐欺や、ソーシャルエンジニアリングによる攻撃を100%回避できるように、従業員を訓練することは、おそらく実際には不可能だろう。

 一方で、フィッシングやソーシャルエンジニアリングによる攻撃を見破る方法を教えることで、セキュリティ警告を発し、インシデント対応をすることには効果がある。進行中の攻撃を報告できるユーザーを1人でも確保することで、高度な攻撃に対して全力で防御を行えるようになり、高度な攻撃に対してもその被害を軽減できる。

 しかし、火災訓練が突然の実施ではなく、事前通告による定期的な避難訓練に移行したように、情報セキュリティ業界もサプライズやトリックを軽視し、フィッシングメールを見つけた瞬間に、従業員にどのような行動が求められるのか、正確に訓練することを優先する必要がある。特に、フィッシングの脅威を認識して報告する訓練が重要である。

 要するに、我々はフィッシングテストをやめて、フィッシング対策訓練に移行する必要がある。フィッシング対策訓練では、フィッシングメールの見分け方、その報告方法を、ユーザーに教育する。

 さらに、監査に必要となる数値として、フィッシングメールとして報告する練習を完了したユーザー数、メールを開封してからフィッシングメールが最初に報告されるまでの時間、セキュリティチームへの最初のエスカレーションの時間、配信から1時間後、4時間後、8時間後、24時間後の報告数を収集する。

 フィッシング対策訓練では、フィッシングメールであることを告知した上で、関連する指示や、具体的なタスクを記載したメールを送信する。たとえば、メール本文に「これはフィッシングメールの訓練です」と記載した上で、フィッシングメールに書かれるような内容を記載した上で、フィッシングメールの見分け方や、フィッシングメールを受け取った時にセキュリティチームに報告する方法を従業員に知らせる。