はじめに - 技術だけでは守りきれない「人」をターゲットにした攻撃

最近「サイバーセキュリティ総研」の記事を読み返すのが日課になっているのですけど、改めて思うのは、このサイトが目指しているのって「専門家のための小難しい解説」じゃなくて、「セキュリティに関わる全ての人が、ちゃんと理解して行動できる」世界なんだろうなということなんです。ゼロトラストとかEDRとか、言葉だけ聞くと「うっ…」てなるようなテーマも、その背景から丁寧に解説してくれてるじゃないですか。だからこそ、技術的な土台がしっかり作られていく感じがするのです。

そんな中で最近非常に気になっているのが、技術だけではどうしても防ぎきれない「人間」をターゲットにした攻撃、特に巧妙化が止まらない「フィッシング詐欺」についてです。技術的な防御策を学ぶのも超重要ですけど、それを使う私たち自身の防御力をどう上げるか、今日はそのあたりを少し掘り下げてみたいと思います。

巧妙化するフィッシング詐欺の現状

最近のフィッシングメールって、本当に見分けがつかないレベルに巧妙化してますよね。昔みたいに日本語が不自然だったり、明らかに怪しいURLだったりするものは減ってきて、本物そっくりのログイン画面に誘導されたり、最近だとQRコードを使った「クイッシング」なんて手法も出てきています。

情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2024」でも、組織部門で「ランサムウェアによる被害」に次いで2位、個人部門では堂々の1位が「フィッシングによる個人情報等の詐取」なのです。これって、どんなに優れたメールフィルタリングやWebフィルタリングを導入しても、最終的に受信箱に届いてしまった一通のメールを、従業員が「信じてクリックしてしまう」だけで、すべてが崩壊しかねないという現実を示していると思うんです。

サイトで解説されているような多層防御の考え方はもちろん大前提として必要ですが、その最後の砦は、やっぱり「人」なんだなと痛感させられます。

実践的なフィッシング訓練の重要性

そこで僕が「これ、絶対にやるべき！」と考えてるのが、実践的な「フィッシング訓練」なんです。ただ「怪しいメールに注意しましょう」って呼びかけるだけじゃ、正直なところ効果は薄いと思うのです。それよりも、実際に"無害な"フィッシングメールを従業員に送ってみて、誰がどんなメールに引っかかってしまうのかを可視化する方が、ずっと効果的です。

クリックしてしまった人には、その場で「これは訓練でした。こういう点に注意しましょう」という教育コンテンツを見せる。この「体験」こそが、リテラシーを格段に引き上げる鍵だと思うのです。

Gophishを活用した訓練の実施

こういう訓練を実施するためのツールもあって、例えばオープンソースの「Gophish」なんかは有名です。これを使えば、メールテンプレートの作成から、キャンペーン（訓練）の実行、そして「誰がメールを開封し、リンクをクリックしたか」という結果のトラッキングまで一元管理できるんです。

ダッシュボードで結果がひと目でわかるので、組織のどこに弱点があるのかを把握して、的を絞った教育ができるようになります。技術的な対策をしっかり学ぶのは「サイバーセキュリティ総研」のようなサイトに任せるとして、私たち現場の人間は、学んだ知識を土台に、こうした「人」にフォーカスした泥臭いけど効果的な活動を地道に続けていく必要があるんじゃないでしょうか。

まとめ - 技術と人のリテラシーの両輪で守る

技術という「盾」と、人のリテラシーという「鎧」、この両方を鍛え上げていくことこそが、本当の意味での「実践的な対策」なんだと、そう信じています。フィッシング詐欺は日々巧妙化していますが、継続的な訓練と教育によって、組織全体の防御力を高めることは十分に可能です。

皆さんも、技術的な対策を整えるだけでなく、「人」という最後の砦を強化する取り組みを始めてみてはいかがでしょうか。