ChatGPTの悪用などで偽メールはより巧妙化
至るところで猛威を振るい、大きな被害をもたらしているサイバー攻撃。情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威 2023」での組織向け脅威で1位となったランサムウエアを筆頭に、サプライチェーンの弱点を突いた攻撃や標的型攻撃など様々な攻撃が行われており、その手法も高度化・巧妙化している。
「インシデントに関する問い合わせは毎年増えていますが、以前は首都圏中心だったのに対し、この2、3年は全国から寄せられるようになっています」と語るのは、グローバルセキュリティエキスパート(以下、GSX)執行役員、サイバーセキュリティ研究所の鈴木 貴志氏。同社は既に20年以上にわたりサイバーセキュリティ教育をリードしてきた専門家集団だ。「サイバー攻撃の被害を他人事ととらえて、『ニュースだけの話』と受け取る人も少なくないですが、実態は異なります。ターゲットになるのは大企業や著名企業だけではなく、中堅・中小企業にも拡大しており、被害に遭って初めて『自分事』だと感じ、慌てて対処するケースも増えています」。
ここで注目したいのが、ほとんどの攻撃の端緒となっているのが、攻撃者が巧妙に仕組んだ偽メールだということ。このメールに悪意のあるプログラムを潜ませたファイルを添付したり、攻撃者が用意したサイトに誘導するURLを記載したりして、ユーザーにこれらをクリック(開封)させることで最初の侵入を果たそうとするのだ。
「サイバー攻撃への対応では、技術的対策ももちろん必要ですが、それ以上に重要なのが従業員のリテラシーです」と鈴木氏。偽メールに引っかからないようにするだけでも、被害の多くは回避可能だ。そしてそのために有効なのが、従業員のリテラシーを高めるための訓練だと述べる。
「しかし現在でも、十分な効果を発揮する訓練を実施できている企業は、決して多くありません。また最近ではChatGPTのようなAIや高精度な翻訳ツールを悪用した偽メールも増えているため、偽メールを見破ることは、以前よりも難しくなっています」と鈴木氏は指摘する。
それでは偽メールをより確実に見破るための訓練を、効果的に行うにはどうすればいいのだろうか。