認証基盤を強化する方法としては、アイデンティティ管理
経営幹部や上級管理職は、サイバー攻撃において頻繁にターゲットとされることがあります。彼らは組織内で目立つ存在であり、機密情報へのアクセス権を持ち、組織内での影響力が大きく、公的なプラットフォームを使用することが多いため、サイバー犯罪者にとっては魅力的なターゲットとなります。
組織のセキュリティを高めるためには、あらゆる規模の組織で経営幹部のリスクを積極的に軽減することが重要です。経営幹部は、強力で独自のパスワードの使用、パスワードの使い回しを避ける、多要素認証の実施など、シンプルながら効果的な対策を取ることで、サイバー攻撃のリスクを大幅に低減することができます。
このブログでは、経営者に対する具体的な攻撃、経営者がサイバー攻撃から身を守るための方法、経営者の安全を守るために特別な対策を講じることが企業のセキュリティにとっても重要である理由を紹介します。
経営者を狙うサイバー攻撃にはどのようなものがある?
組織に対するサイバー攻撃は、あらゆる規模で劇的な増加を続けています。2022 年、サイバー攻撃は38%という驚異的な上昇率を示しました。また、これらの攻撃はより巧妙になってきています。サイバー犯罪者の間では、経営者に対する高度に研究された協調的な攻撃が一般的な手口となっています。
2023年に Ivantiが IT リーダーや経営者を対象に行った調査では、リーダーは他のオフィスワーカーに比べて4倍もフィッシング攻撃の被害に遭いやすいことが判明しています。また、FBIによると、全体として、経営陣をターゲットにしたサイバー攻撃の割合が増加しているため、2021年には125億ドル以上の損失が発生しています。
経営者に対する脅威のベクトルは、経営者になりすますことによる従業員への脅威と同様に、いくつか共通するものがあります。
クレデンシャルスタッフィング
クレデンシャルスタッフィング攻撃では、サイバー犯罪者は一度に複数のアカウントにアクセスしようとします。脅威ベクトルの有効性は、パスワードを広範に使い回してしまうことに依存しており、Googleと Harrison Pollが最近行った調査では、全従業員の半数以上(52%)がパスワードの使い回しを行っていると報告されています。
ソーシャルメディアの投稿、インタビュー、公の場での発言など一般に公開されている情報は、クレデンシャルの可能性を示唆するものであり、クレデンシャルスタッフィングは、認知度の高いデジタルフットプリントを持つ人に対する有効な攻撃方法となっています。
クレデンシャルスタッフィング攻撃は、わずか数分で、盗んだクレデンシャルを何千ものウェブサイトやアプリに入力することができ、ソーシャルメディアのアカウントやセンシティブな企業記録などから情報を漏洩させる可能性があります。
ホエーリング
ホエーリングは、スピアフィッシングに似たよくある脅威ベクトルです。スピアフィッシング攻撃では、サイバー犯罪者は個人の興味や人間関係などの関連した情報を活用して、センシティブなアカウントや情報へのアクセスを許可させるよう被害者を誘導します。ホエーリングの場合、悪意のある人物が企業幹部に対して、重要な記録や支払い情報を提供するよう強要します。多くの場合、高度にパーソナライズされた要求によって行われます。
ホエーリングの顕著な例として、ヘッジファンドの共同設立者が、既知の連絡先と思われるところから悪意のある Zoomリンクを受け取ったことがあります。そのリンク先には、実はマルウェアが仕込まれていたのです。
その後、サイバー犯罪者はファンドのメールアカウントにアクセスし、見込み客への請求書の送付や口座振り込みなどを行いました。このヘッジファンドは、最終的に送金額の一部を取り戻したものの、風評被害とビジネス上のダメージにより、間もなく閉鎖を余儀なくされました。
CEO詐欺となりすまし攻撃(Imposter attacks)
CEO詐欺、つまり、悪意のある人物が上級役員を装うサイバー攻撃は、フィッシングの一種です。経営者の外見や影響力を利用して、直属の部下や従業員を説得し、センシティブな情報やアカウントへのアクセスを許可させるものです。これらの攻撃の有効性は、多くの場合、電子メールやテキストを介して特定の従業員に即座に行動を起こすよう促す、高度に研究された手口に依存します。
なりすまし攻撃(Imposter attacks)は、組織の信頼と、幹部からのリクエストに早急に対応しようとする従業員の熱意を利用するものです。例えば、CEO詐欺攻撃では、従業員に対し即座に電信送金を行うよう求める文章や、ビジネス上の取引の成功を危険に晒すことなどがあります。
経営者がサイバー攻撃から身を守る対策方法
経営者を狙ったサイバー攻撃やその影響力を利用したサイバー攻撃は深刻な脅威ですが、その対策には様々な方法があります。
経営者のための安全なプロフィールのみ公開する
経営幹部がスポークスパーソンとしての役割を果たすことも多くあります。多くのリーダーは、仕事上のエピソードや個人的な体験談を交えながら、自分自身のユニークな視点をパブリックプラットフォームの中心に据えています。そこで個人情報を開示されることすらあります。
しかし、魅力的な視点を維持するために公共の場で個人情報を過剰に共有することは禁物です。特に、そうすることで機密アカウントのログイン情報の文脈や内容を提供できる場合はなおさらです。
エグゼクティブリクエストに関する明確なガイドラインを伝達する
従業員は、経営陣からの要求に対して、質問や遅れなく応えなければならないというプレッシャーを感じるかもしれません。ホエーリングやなりすまし攻撃は、社員が疑いもなく要求に従うかどうかにかかっています。経営者を狙った攻撃の多くは、その悪意を示す明確な指標を持っていますが、緊急で重要と思われる問題への対処を急ぐあまり、それらがぼやけてしまうことも少なくありません。
経営陣がどのように要望を出すかについてのガイドラインは、従業員に予測を立たせるのに役立ちます。例えば、経営者がギフトカードを要求したり、テキストメッセージで要求したりすることはないことを明確にすることで、従業員がこうした攻撃の餌食になる可能性を低くすることができます。
パスワードマネージャーを利用する
経営者は、サイバー攻撃から組織を守る上で重要な役割を担っていますが、できることは限られています。パスワードを記憶することを自動化できるのであれば、記憶するというタスクを増やすべきではありません。これは、経営者の生産性と組織のセキュリティにおけるメリットとなります。
パスワードマネージャーは、高強度なパスワードを生成し、暗号化されたプライベートなボルトへと安全に保管します。経営者が覚えておかなければならないのは、マスターパスワードだけです。パスワードマネージャーは、重要なアカウントへのログイン情報を自動入力し、多要素認証やシングルサインオン(SSO)と統合することで、経営者が自分のアカウントを素早く認証してログインできるようにします。
アカウントで二要素認証(2FA)を有効にする
二要素認証(2FA)は、追加の認証レイヤーを提供し、パスワードマネージャーの有無にかかわらず使用できる、もう一つの強力なセキュリティレイヤーです。二要素認証(2FA)は、ログイン試行をユーザー固有の情報で検証します。
認証は、ユーザーに固有のもの(指紋など)、ユーザーが所有しているもの(物理的なセキュリティキーや他のデバイスの認証コードなど)、ユーザーが知っているもの(本人だけが答えを知っているセキュリティ質問など)で行うことができます。
まとめ:経営幹部や上級管理職ほどセキュリティ対策を徹底しましょう
経営幹部や上級管理職の方ほどサイバー攻撃において高いリスクを負っているため、セキュリティ対策に注意を払いましょう。これらの役職にある人々は通常、企業の機密情報へのアクセス権を持っています。これには財務データ、戦略計画、顧客情報などが含まれ、これらが漏洩した場合、企業に甚大な損害を与える可能性があります。
Keeperは、パスワードを作成、保管し、ユーザーが組織全体で安全に共有できるようにすることで、重要なデータを不正アクセスから守り、組織の経営者がサイバー攻撃を経験することのないように徹底をしています。
この機会に14日間のビジネスプランのフリートライアルを試してみてはいかがでしょうか。