Salesforceを狙ったフィッシング詐欺：攻撃発生時の緊急対応マニュアル

高度なハッキング攻撃とは対照的に、フィッシングはソーシャルエンジニアリングを用いて機密情報を入手するもので、主に被害者が信頼する信頼できる発信元を装って行われます。かつては、フィッシングは電子メールという単一の攻撃経路に限定される傾向がありました。しかし最近では、攻撃者は貴重なデータにアクセスしようと、テキストメッセージやソーシャルメディア、さらには電話さえも利用しています。フィッシングは、サイバー犯罪の中で群を抜いて最も一般的なものであり、データ侵害の90%以上を引き起こし、毎年何百万人もの人々に影響を与えています。

フィッシング攻撃には様々な種類があります。その手法や標的は異なりますが、最終的な目的は同じです。つまり、人を騙して個人情報や機密情報を提供させることです。最も一般的な種類には、次のようなものがあります。

• メールフィッシング：一般市民と企業の両方を標的とする
• スピアフィッシング：特定の個人や企業の部署を標的とする
• ホエーリング：CEOや上級幹部を標的とする
• ヴィッシング（ボイスフィッシング）：電話を通じて標的を攻撃する
• SMSフィッシング：テキストメッセージを通じて標的を攻撃する
• ソーシャルメディアフィッシング：ソーシャルメディアユーザーを標的とする
• アングラーフィッシング：不満を抱えているソーシャルメディアユーザーを標的とする

個人であれ企業であれ、誰もがフィッシングの被害に遭う可能性があります。メール、ソーシャルメディアの投稿、SMS、電話にフィッシングの手口がないか注意深く確認するよう従業員を教育することはベストプラクティスですが、どんなに訓練された人間でもミスを犯す可能性があります。特に、攻撃対象領域が広い大規模な企業の場合、堅牢なサイバーセキュリティシステムを構築することが不可欠です。

セールスフォースのデータ漏洩から学べること

セールスフォースは、顧客関係管理（CRM）ソフトウェアの世界有数のプロバイダーです。同社のクラウドベースのソリューションは、世界中の企業が効率性を向上させ、市場調査を合理化し、他のSaaSサービスと統合するのを支援しています。セールスフォースは一般的に非常に安全に使用できますが、2019年に同社が受けたフィッシング攻撃など、データセキュリティにおける人的ミスを伴う散発的なインシデントが発生しています。

データセキュリティとは、企業の機密情報やセンシティブなデータを保護することを意味します。セールスフォースの場合、これには顧客記録、財務情報、連絡先詳細などが含まれます。企業がデータ保護の管理を失うと、その結果は壊滅的となり、データ侵害による企業の平均的な損失額は435万ドルに上ります。セールスフォースがフィッシング攻撃を受けた際、約20万件の顧客アカウントが影響を受け、3ヶ月後にはディープウェブ上で個人情報が販売されているのが発見されました。

今日のデジタル時代において、悪意ある攻撃者は常にセキュリティの弱点を探し、悪用しようと狙っています。セールスフォースの事例は、たった一つの脆弱なリンクがあれば、いかに堅牢なセキュリティ対策であっても突破されてしまうという、世界的な問題を浮き彫りにしています。しかし、攻撃が成功した場合の影響を最小限に抑えるための対策は存在します。

フィッシング攻撃発生後に講じるべき重要な措置

1. 企業のセキュリティプロトコルを起動する

攻撃が確認されたら、まずIT部門に報告し、すべてのシステムを停止させ、全社的なパスワードのリセットを実施する必要があります。ITチームは、その攻撃が真の脅威であるかを確認します。セキュリティシステムが十分に強固であれば、そのような攻撃に備えた対策が講じられている可能性があります。また、ITチームは社内のネットワークをスキャンしてマルウェアの有無を確認することもできます。

また、できるだけ早くデバイスをネットワークから切り離すことも極めて重要です。システム全体を停止させれば、ハッカーがデバイスや個人情報にアクセスする機会を減らすことができます。ネットワークから切断することで、マルウェアが他のデバイスに拡散するのを防ぐことも可能です。

2. 人事部門を巻き込む

フィッシング攻撃が発生した後、人事担当者は（できればIT部門の協力を得て）、悪意のあるリンクをクリックした従業員と面談し、攻撃に至った経緯を詳しく把握する必要があります。

また、人事チームは従業員に対してサイバーセキュリティ研修を実施しなければなりません。従業員を教育し、適切なサイバー衛生習慣を維持するよう促すことで、サイバーセキュリティ文化を醸成すべきです。さらに、経理・財務部門の責任者など、リスクの高い役職にある従業員に対しては、専門的な研修を提供することも可能です。

新入社員のオンボーディングプロセスには、個人データへのアクセスや利用に伴うリスクに焦点を当てたサイバーセキュリティ研修を組み込むことが重要です。また、人事チームは、違反を繰り返した場合の処分を定めたセキュリティポリシーを作成することもできます。

3. マルウェアとID盗難の確認

ITチームは、ファイル、デバイス、サーバー、アプリケーションに対して詳細なスキャンを実行し、侵害後に攻撃者が社内ネットワークにマルウェアを残していないかを確認できます。マルウェアが検出された場合は、通常の業務を再開する前に、システム全体を徹底的にクリーンアップして除去する必要があります。また、個人情報の盗難の疑いがあるケースを検知するためには、請求書発行や銀行取引プラットフォームなどの機密性の高いシステムを監視し、不審な活動がないか確認する必要があります。これらのシステムを運用している企業に対しても、直ちに侵害の事実を通知する必要があります。

まとめ

フィッシングは人間の感情につけ込み、成功した場合、金銭的、感情的、精神的な混乱を引き起こす可能性があります。データセキュリティ侵害は、自社のビジネスを危険にさらすだけでなく、顧客の個人情報を危険にさらし、企業との信頼関係を損なう可能性もあります。フィッシング攻撃が発生した場合、その被害がいかに甚大に見えても、損害を最小限に抑える方法は存在します。意識、知識、トレーニング、そしてテクノロジーを活用すれば、最も高度な脅威であっても無力化することが可能です。WithSecure™ Cloud Security for Salesforceを活用することで、貴社はフィッシング攻撃による損失を軽減することができます。