2019年05月30日 20時00分セキュリティ

社内で「フィッシング詐欺試験」を行うとむしろ業務に悪影響が出る

By Rawpixel

「フィッシング詐欺」とはクレジットカードの情報や、特定のウェブサービスのユーザー名やパスワードなどを奪うことを目的とした詐欺で、多くは偽のサイトへのURLリンクをメールで送りつけるという手法をとります。フィッシング詐欺は会社全体に打撃を与える可能性がある一方で、テスト的なフィッシング詐欺メールを社内に向けて送信し、偽のURLをクリックした従業員に罰則を与えることは、むしろ業務に悪影響を与えるとのことです

Should Failing Phish Tests Be a Fireable Offense? — Krebs on Security
https://krebsonsecurity.com/2019/05/should-failing-phish-tests-be-a-fireable-offense/

フィッシング詐欺に対する社員教育の講座などを提供するPhishLabでは、フィッシング詐欺を未然に防ぐための「試験」も提供しています。通常、この試験はフィッシング詐欺メールに引っかかった従業員を対象としていますが、何度もフィッシング詐欺メールに引っかかって試験を受けざるを得ない従業員に懲罰的な措置を講じることは、むしろ業務に悪影響を与えるとPhishLabのCEOであるJohn・LaCour氏は語っています。

LaCour氏によると、多くの会社が「引っかけ問題」のように、従業員に仮のフィッシング詐欺メールを送りつけてその対処を見るという「フィッシング試験」を行っているそうですが、そのような試験は間違っているとのこと。フィッシング試験はフィッシング詐欺メールの対処法を教えてくれないばかりか、従業員のやる気をそいでしまうそうです。

By stokkete

LaCour氏同様、フィッシング詐欺に対するセキュリティサービスを提供するCofenseのCEO、Rohyt Belani氏もまた「フィッシング試験を行うと、セキュリティ部門とその他の部門の間に亀裂が生じます」と語ります。Belani氏によると、この種の試験はセキュリティを向上させるというよりも人事評価を目的としていると受け取られ、セキュリティ部門に対して他の部門の従業員が非協力的になったり、反抗的になったりするとのこと。

また、Cofenseが提供しているサービスでは、従業員が「このメールはフィッシング詐欺メールです」と報告して、情報を共有するというシステムになっているとのこと。しかし多くの場合では、従業員は「メールに書かれていたURLをクリックしたらフィッシング詐欺サイトに転送されたから、このメールはフィッシング詐欺メールということだ」と判断しています。もし仮に「フィッシング詐欺サイトへのURLをクリックすること」自体が人事評価の減点対象になるのならば、従業員はフィッシング詐欺メールのURLをクリックしたことを隠してしまうため、結果として「どのメールがフィッシング詐欺メールなのか」という情報は共有されなくなってしまい、実際にセキュリティに悪影響が出てしまうそうです。