マカフィーは8月3日、セキュリティブログを更新し、これまでのフィッシングとマルウェアの動向を解説した。
ブログによると、フィッシングは電子メールが登場した当時からあり、90年代「ナイジェリアの王子」が有名だ。当時から、フィッシングによって企業データ、関連する財務情報、銀行の詳細情報、従業員のプライベート情報が漏えいする可能性があると危険視されていたほか、電子メールは日常的に浸かるツールであり、攻撃を受けるリスクが高いことも指摘されていた。
現在はフィッシング詐欺は、特定のターゲットに対して重要なデータや情報を入手しようとする「スピアフィッシング技術」での攻撃が主流。多くの企業・組織が攻撃の標的となり、テレビや新聞でも取り上げられるほど大きな被害をもたらしている。
最近のフィッシングは、組織の規模を問わないのが特徴で、大企業だけでなく、中堅・中小企業も標的になっている。先日、米サンディエゴの小さな法律事務所の弁護士が、フィッシングメール経由でマルウェアをインストールし、事務所の銀行口座から中国の銀行に約30万ドルを送金する事件があった。
組織の大半は、フィッシングを通じてマルウェアが自社ネットワークに侵入した経験があるという。意思決定者の3分の2は、昨年電子メールを通じてマルウェアが侵入したと報告している。
マカフィーでは、ネットワーク侵入の方法としてフィッシングが利用されるケースが増加していると指摘。侵入が発生する可能性を低減するために、あらゆる規模の組織が予防策を講じる必要があるとしている。
今後の対策は、機密データはどこに保管されているか、誰がアクセスできるかなどのインベントリを作成し、変更によってどのような影響が発生するかを理解することが重要これによって、ユーザーが最も影響を受けやすいフィッシング技法も把握できるようになるという。
また、従業員に向けたフィッシングやマルウェアの対処方法のトレーニングを実施することで、セキュリティシステムの総合的な効率性を高められるという。マカフィーでは、フィッシングクイズを公開している。
クイズによって、トレーニング計画の作成に役立つように、クイズの総合評価と洞察(最も影響を受けやすい組織、ユーザーが最も影響を受ける技法など)に役立てられるという。
