_Brian_Jackson_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "ヘッドセットがノートパソコンの上に置かれている")
出典:Brian Jackson(Alamy Stock Photo経由)
解説
FBIによるScattered Spiderのようなグループに関する最近の警告は、現実が変化していることを強調しています。今日最も危険なサイバー攻撃は、フィッシングメールではなく電話から始まることが多いのです。脅威アクターは、企業防御の弱点である「人」を標的に、複数段階かつ高接触型のソーシャルエンジニアリングキャンペーンを実行しています。
最も効果的な戦術は、従来の境界防御を完全に回避し、緊急性や親しみやすさ、人間の本能を利用してネットワークアクセスを得ます。中でも特に価値の高い標的は、パスワードリセットや多要素認証(MFA)の上書き権限を持つ人々です。
私自身、何十年もサイバーセキュリティ分野で働き、時には模擬ソーシャルエンジニアリング攻撃を実施してきた経験から、ヘルプデスクチームが必要なツールやプロセス、サポートを備えていない場合、いかに脆弱であるかを見てきました。トレーニングだけでは不十分です。組織は、ヘルプデスクの運用方法を根本から見直す必要があります。リクエストの検証方法から、その場の意思決定を左右する文化に至るまで、すべてです。
警戒サインとエスカレーションは第二の習慣にすべき
すべてのMFAリセットやアクセス権限昇格のリクエストは、その見た目がどれほどもっともらしくても、進行中の攻撃の可能性があるとみなすべきです。それは被害妄想ではなく、現実的な対処です。フロントラインのスタッフは、重要な警戒サインを認識できるよう訓練される必要があります。不明な番号からの電話、過度な緊急性、役員の名前を出す、強引で操作的な口調などは、何かがおかしいというサインです。これらの手口は理論上のものではなく、脅威アクターが実際に使い、効果が証明されている方法です。
しかし、警戒サインを認識するだけでは不十分です。組織は、エスカレーションを許容するだけでなく、当然のこととして期待すべきです。リクエストに違和感を覚えたら、ヘルプデスク担当者は別の手段で本人確認を行うべきです。たとえば、登録されている個人番号に電話したり、上司に連絡したり、従業員にビデオ通話で身分証を掲示させたりすることが考えられます。より機密性の高い場合は、対面での確認が最も安全な方法かもしれません。
多くの組織が上級幹部に例外を設けていますが、誰も—CEOでさえ—本人確認プロトコルから免除されるべきではありません。むしろ、幹部こそが本人確認の模範を示し、組織全体で慎重さが求められていることを強調すべきです。私が実施したソーシャルエンジニアリング演習では、幹部になりすますことで、スタッフが「役に立たない」と思われることを恐れてアクセスを急いで許可してしまうケースがよくあります。しかし、こうした攻撃に抵抗できる企業は、担当者が相手の肩書に関係なく、手順を守り、毅然と対応できる環境が整っています。
すべてのパスワードやMFAリセットは、特に特権アカウントの場合、小規模なインシデント対応として扱うべきです。ヘルプデスクの担当者は、チケットを早く解決するために手順を急いではいけません。状況をよく確認する必要があります。最後のログイン試行はどこからだったか、その場所は通常通りか、電話の相手の振る舞いは想定通りか。例えば、バージニア在住のCEOが中国からログインしようとしている場合、通常の業務とは言えません。それは警告サインです。
プロトコルだけでなく文化も変える
強固なセキュリティプロトコルは素晴らしいものです。しかし、それを支える文化がなければ機能しません。ヘルプデスクがチケットをできるだけ早く解決するようプレッシャーを感じていたり、本人確認を面倒だと考えている場合、攻撃者はその隙を突いてきます。文化とは、ポリシーと実践の間を埋めるものです。そして、文化がスピードをセキュリティより優先する場合、ミスが起こります。
組織は、疑念を持つことが良いカスタマーサービスの一部であると明確にすべきです。パスワードやMFAトークンのリセットは、プリンターのトラブルを解決するのとは違います。それは潜在的な侵害ポイントです。担当者は、なぜ本人確認が重要なのかをユーザーに自信を持って説明できる必要があります。相手が反発してきた場合でも、担当者は経営陣が自分たちを支持してくれると確信できるべきです。
これを強化するために、正しい行動を称賛しましょう。ヘルプデスクの担当者がソーシャルエンジニアリングの試みを見抜いたら、それを面倒事ではなく成果として扱ってください。その話(適切に匿名化して)をチーム全体で共有し、学びと誇りの機会にしましょう。守る側に「自分は守っている」という実感を持たせるのです。
トレーニングは役立ちますが、それは継続的で、実践的で、現実に即している場合だけです。一度きりの啓発動画では、巧妙な電話詐欺師への備えにはなりません。代わりに、毎月の短いリフレッシュ研修や、レッドチームによるロールプレイ、模擬フィッシングやビッシング(電話詐欺)演習で意識を維持しましょう。ヘルプデスクスタッフもインシデント対応の机上演習に参加させ、彼らの行動(あるいは不作為)がセキュリティイベント全体にどう影響するかを体感させてください。
ヘルプデスクとセキュリティチームが実際に会話をすることは大きな違いを生みます。両者のつながりが強いほど、何か怪しいことが起きたときに、それが本当の問題になる前にフラグが立てられ、エスカレーションされる可能性が高まります。簡単な一歩としては、ヘルプデスク内にセキュリティ担当の窓口を設けることです。常に注意を払い、警戒サインを挙げ、セキュリティチームが現場で見ていることと連携できる人を決めておきましょう。
この分野に魔法の解決策はありません。攻撃者は進化し続け、ヘルプデスクは常に標的であり続けます。しかし、適切なトレーニング、サポート、信頼があれば、フロントラインの担当者は最大のセキュリティ資産となり得ます。すべては、彼らに必要なツールと、正当な評価を与えることから始まります。なぜなら、攻撃が進行中のとき、電話を取るその人こそが、あなたの会社と重大なセキュリティインシデントとの間に立つ存在かもしれないからです。