企業の従業員にとって、フィッシングメールを特定することは依然として難しいようだ。あるセキュリティ企業にがテストしたところ、4分の3近くの企業で従業員がパスワードを教えてしまったという。
セキュリティコンサルティング企業のCoalfireは、525の企業を対象に調査を実施し、さまざまなハッキング手法やセキュリティ脆弱性に対する防御力を調べた。調査結果によると、このうち71%の企業で、Coalfireのペネトレーション(侵入)テスト担当者によるフィッシング攻撃の対象になった従業員がアクセス情報を渡してしまったという(2018年の63%から増加)。
20%のケースでは、半数以上の従業員がログイン情報を渡してしまった。2018年の調査では10%だった。
Coalfireは、企業がどれだけ効果的に攻撃に対処できるかを評価するため、さまざまなサイバー攻撃をシミュレートすることを目的とする623回のペネトレーションテストを米国、欧州、英国で実施した。
これらのテスト中に発見された最も一般的な脆弱性は、脆弱なパスワードとセキュリティ上危険な社内の手続き(不適切なファイルアクセス制限や不十分な従業員トレーニングなど)、古いソフトウェアの使用の3つだ。
Coalfireの英国担当マネージングディレクターのAndrew Barratt氏は、「多くの企業は、とりわけシステムのクラウド移行を進める中で、セキュリティのインフラをアップグレードするための措置を講じているにもかかわらず、基本的な問題の一部に対処していない」と述べた。
全体としてみると、今回のペネトレーションテストで発見された企業の高リスクの脆弱性は、2018年よりも少なかった。おそらく、クラウドコンピューティングへの移行が原因だろう。クラウドコンピューティングでは、オンプレミスのインフラを保護および維持する必要性が少なくなるからだ。ペネトレーションテストでは、不適切なクラウドセキュリティ設定も発見された。
Coalfire LabsのバイスプレジデントであるMike Weber氏は、「クラウドを導入することはより大きなリスクを受け入れることだと多くの人が誤解しているが、これが当てはまるのは、クラウドを適切に導入しなかった場合だけだ」と述べた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。