CrowdStrike Blog:テレワーク時の安全確保のカギはコミュニケーション ~ CrowdStrike CSO から皆様へ | ScanNetSecurity
2022.06.28(火)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

CrowdStrike Blog:テレワーク時の安全確保のカギはコミュニケーション ~ CrowdStrike CSO から皆様へ

CrowdStrikeのCSOとして、社内のセキュリティ確保のために重要なのは、当社のすべてのチームとの頻繁かつオープンなコミュニケーションを行い、彼らが組織として、また個人として、日々直面する脅威を認識し、それに対する準備を行えるようにすることです。

国際 海外情報
 サイバーセキュリティのプロフェッショナルたちによって、組織の保護機能は日々大きな進歩を遂げています。しかし、世界中のあらゆるテクノロジーをもってしても、ユーザーと資産を完全に保護することはできません。そのためには、個々のユーザーが注意を払い、常に警戒することも必要なのです。このことは現在のコロナウイルス(COVID-19)による危機的状況においても、まったく同じです。これほど多くの企業が、テレワークへの迅速な移行を迫られるなか、注意・警戒・通知は、私たち皆のスローガンとしなければなりません。

 CrowdStrikeのCSOとして、社内のセキュリティ確保のために重要なのは、当社のすべてのチームとの頻繁かつオープンなコミュニケーションを行い、彼らが組織として、また個人として、日々直面する脅威を認識し、それに対する準備を行えるようにすることです。セキュリティリーダーが関係者に連絡を取り、最近の攻撃者グループの活動に伴い増大するリスクに対する警戒を訴えることが特に重要です。

詐欺の手口とソーシャルエンジニアリング

 攻撃者グループらが、人間の感情の1つである「恐れ」を悪用しようとするのは、驚くことではありません。現在、私たちは感情的にも弱くなっています。攻撃者らはそこに目を付けているのです。危機的な状況下において、人は適切な判断ができなくなる傾向にあります。悪質なハッカーや詐欺師らは、そこに付け込もうとします。

 最近では、コロナウイルスの世界的大流行に乗じた詐欺の手口が増加しています。CrowdStrike Intelligenceチームは、その多くの例を収集し、周知しています。ソーシャルエンジニアリングは、企業に侵入するための最も有効な方法であるため、多くの攻撃者に採用される手法です。また、攻撃者らはパンデミックを悪用して、個人情報や企業の知的財産を盗もうとしています。攻撃者らは、COVID-19の最新情報を公開しているように見せかけた悪質なWebサイトやアプリを利用して、マルウェアをユーザーのデバイスに送り込み、ユーザーの情報を盗んだり、デバイスをロックして身代金を要求します。皆が最新のニュースを知りたいと考え、このような戦術に釣られてしまいます。しかし、私たちは恐怖によって判断力を鈍らせるわけにはいきません。私たちが警戒を緩め、このような詐欺に屈すれば、敵の勝ちです。
ソーシャルエンジニアリングでも、最近のテレワークの増加に付け入る隙を狙っています。テレワークする従業員が増えるほど、ソーシャルエンジニアリングのリスクも高まります。同僚と対面することが少なくなった無防備な従業員を騙すのはずっと簡単です。「IT部門」からというその通話は、本当にIT部門からのものでしょうか。「Apple」からのEメールは、本物でしょうか。いったん落ち着いて、自問自答しましょう。その電話やメールの相手は、本当に名乗ったとおりの人物なのか。

オンライン上で安全を確保するための推奨事項

 私たち皆の安全のために、すべてのユーザーに、以下のような注意喚起を行ってください。すでに皆が知っていることかもしれませんが、今はその記憶を呼び起こすべき時だと思います。

・知らない相手からのEメール内のリンクは絶対にクリックしないこと。まずは、リンクを観察してみましょう。信ぜよ、されど確認せよ!

・知らない相手からのEメールの添付ファイルは開かないこと。

・アカウント情報の提供や確認を求める内容のEメールや通話には気を付けること。

・Eメールや自動音声電話で、あなたのユーザー名やパスワード、誕生日、マイナンバー、口座情報などの個人情報を聞かれても、決して応じないこと。

・正当なソースから要求された情報を常に個別に検証すること。

・正当なWebサイトのアドレスを確認して、ブラウザ内に手動で入力すること。

・リンクアドレスに、スペルミスや不正なドメインがないかよく観察する(たとえば、アドレスの末尾が「.gov」であるはずのところ、「.com」となっているなど)。

・送金あるいは情報の送信をする前に、電話やテレビ電話で先方に確認をとる。

・消毒用品や防護具の販売、あるいはCOVID-19の予防、治療、診断、治療のための製品については、偽物に注意すること。

 セキュリティ意識の向上は、被害に遭わないための最良の方法です。攻撃の標的となっている兆候を見つけるには、一般的なソーシャルエンジニアリングの手口を知っておくことが重要です。「自分はソーシャルエンジニアリング攻撃の被害に遭っているかもしれない」と従業員が疑った場合には、ITセキュリティ担当者に連絡できるようなプロセスが整備されていることを確認してください。

 COVID-19に関する正確な最新情報を求めている方向けに、CDC(アメリカ疾病予防管理センター)では広範なガイダンスと情報を公開し、内容を頻繁に更新しています。COVID-19に関する正確な情報ソースとして最適なサイトは、www.cdc.govおよびwww.coronavirus.govです。
CrowdStrike 新型コロナウイルス(COVID-19)とサイバーセキュリティ リソースWebページでも、御社とテレワーカーのセキュリティ確保に役立つ情報を入手できます。

 皆さまの今後の安全をお祈りするとともに、オンラインのご利用および在宅勤務のセキュリティについても十分に注意されることを願っております。これらの困難な時期には、私たちが自分自身の精神面、肉体面、感情面に気を配ることが非常に重要です。CrowdStrikeでは、私たちのお客様の組織とあらゆる場所で勤務されている従業員の皆様を守るために全力を尽くしています。しかし、この嵐を無事に乗り切るには、すべての人の意識と警戒心が不可欠です。

追加のリソース

・CrowdStrikeの既存お客様向けの、新規テレワーカーの安全性確保を目的とした2つの新プログラムについて、是非ご一読ください。

・COVID-19時代のサイバーセキュリティへの対応に関して、CrowdStrikeのCEO、George Kurtzがブログで発信しています。

・COVID-19蔓延時におけるサイバーセキュリティ上の課題や、テレワーカーの安全のための推奨事項に関する詳細については、CrowdStrikeのCTO、Mike Sentonasおよびチーフプロダクト・エンジニアリング・オフィサーのAmol Kulkarniのブログをご覧ください。

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/communication-key-to-keeping-remote-workforce-safe/
《Shawn Henry (CrowdStrike)》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

YKK AP社員を装った不審メールに注意喚起、取引先への送信も確認 画像

YKK AP社員を装った不審メールに注意喚起、取引先への送信も確認
L2Blockerセンサー設定画面に認証回避の脆弱性 画像

L2Blockerセンサー設定画面に認証回避の脆弱性
web2py にオープンリダイレクトの脆弱性 画像

web2py にオープンリダイレクトの脆弱性
SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能 ~ Proofpointが発見 画像

SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能 ~ Proofpointが発見
Atlassian Confluence において URI の検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像

Atlassian Confluence において URI の検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
法務省 文科省 デジタル庁 警視庁、偽サイト続々 画像

法務省 文科省 デジタル庁 警視庁、偽サイト続々

インシデント・事故 記事一覧へ

トヨタ紡織グループのタイの販売会社に不正アクセス 画像

トヨタ紡織グループのタイの販売会社に不正アクセス
ホース製造ニチリンの米国子会社にランサムウェア攻撃、手作業で生産出荷を実施 画像

ホース製造ニチリンの米国子会社にランサムウェア攻撃、手作業で生産出荷を実施
ランサムウェアLockbit 2.0によるサイバー攻撃、電子カルテや院内LANシステムが使用不能に 画像

ランサムウェアLockbit 2.0によるサイバー攻撃、電子カルテや院内LANシステムが使用不能に
コンサル契約にもとづき提供した秘密情報が漏えい 画像

コンサル契約にもとづき提供した秘密情報が漏えい
FRONTEOの米国子会社へのランサムウェア攻撃、侵入経路と推測されるメールシステムを今後は使用せず 画像

FRONTEOの米国子会社へのランサムウェア攻撃、侵入経路と推測されるメールシステムを今後は使用せず
バローホールディングスで夏ギフトのダイレクトメールを誤送付、システム移行時の確認不足が原因 画像

バローホールディングスで夏ギフトのダイレクトメールを誤送付、システム移行時の確認不足が原因

調査・レポート・白書 記事一覧へ

JSSEC、フィッシングメール詐欺の手口と対策を解説 画像

JSSEC、フィッシングメール詐欺の手口と対策を解説
2022年第1四半期のランサムウェア動向 画像

2022年第1四半期のランサムウェア動向
マルウェアや標的型攻撃への対策状況を明らかに、ガートナー調査 画像

マルウェアや標的型攻撃への対策状況を明らかに、ガートナー調査
官公庁や市町村の「偽サイト騒動」でJava Scriptコードの挿入による広告表示も、トレンドマイクロ調査 画像

官公庁や市町村の「偽サイト騒動」でJava Scriptコードの挿入による広告表示も、トレンドマイクロ調査
日本の組織が最も懸念するサイバー脅威はフィッシング詐欺とソーシャルエンジニアリング、トレンドマイクロ調査 画像

日本の組織が最も懸念するサイバー脅威はフィッシング詐欺とソーシャルエンジニアリング、トレンドマイクロ調査
Proofpoint Blog 第14回「CISOが考える最大のサイバー脅威は「内部脅威」 - 2022年CISO意識調査レポート」 画像

Proofpoint Blog 第14回「CISOが考える最大のサイバー脅威は「内部脅威」 - 2022年CISO意識調査レポート」

研修・セミナー・カンファレンス 記事一覧へ

LogStare「Interop Tokyo 2022」レポート、CTOの堀野友之氏による講演やShowNetのモニタリング・AI予測など 画像

LogStare「Interop Tokyo 2022」レポート、CTOの堀野友之氏による講演やShowNetのモニタリング・AI予測など
「テクカン2022」開催、セキュリティ製品ひしめく現代 セキュリティ担当者サバイバルガイド解説 画像

「テクカン2022」開催、セキュリティ製品ひしめく現代 セキュリティ担当者サバイバルガイド解説
「法執行機関による盗聴」国別比較 ~ 日 米 独 豪 台 事例から 画像

「法執行機関による盗聴」国別比較 ~ 日 米 独 豪 台 事例から
「Japan Drone 2022」開幕、イエラエのドローン攻撃デモも 画像

「Japan Drone 2022」開幕、イエラエのドローン攻撃デモも
企業がフィッシングメールを見分けるには? 無料ウェビナー開催、TwoFiveがDMARCについて解説 画像

企業がフィッシングメールを見分けるには? 無料ウェビナー開催、TwoFiveがDMARCについて解説
東京電力グループのサイバーセキュリティ対策全体概要 ~ 防災とセキュリティ対策を一元化 画像

東京電力グループのサイバーセキュリティ対策全体概要 ~ 防災とセキュリティ対策を一元化

製品・サービス・業界動向 記事一覧へ

セキュリティ製品「第三者評価」の読み解き方、AV-Test や MITRE Engenuity など 画像

セキュリティ製品「第三者評価」の読み解き方、AV-Test や MITRE Engenuity など
「ワールドソフト」で「VirusTotal」有償版を販売開始 画像

「ワールドソフト」で「VirusTotal」有償版を販売開始
画面共有時の推測候補を非表示に、「ATOK for Mac」に「ATOKプロテクトモード」搭載 画像

画面共有時の推測候補を非表示に、「ATOK for Mac」に「ATOKプロテクトモード」搭載
ユービーセキュア、オフィスネットワークを攻撃者視点でテスト「オフィスハッキングパック」提供開始 画像

ユービーセキュア、オフィスネットワークを攻撃者視点でテスト「オフィスハッキングパック」提供開始
「A-gate」がSalesforceに対応、設定ミスを検出し自動修復 画像

「A-gate」がSalesforceに対応、設定ミスを検出し自動修復
CrowdStrike Security Cloudで稼働する新たなグラフデータベース「CrowdStrike Asset Graph」発表 画像

CrowdStrike Security Cloudで稼働する新たなグラフデータベース「CrowdStrike Asset Graph」発表

おしらせ 記事一覧へ

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Scan PREMIUM 創刊23周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊23周年記念キャンペーン実施中
ScanNetSecurity 創刊23周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊23周年御礼の辞(上野宣)
セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×