情報セキュリテイ教育をしっかりやっていない企業ほど開封率は高い。という事実
ビットコインなど、足がつかずにお金を入手できる仕組みが普及し、ランサムウェアを使って簡単に企業からお金がせしめられる。ということがはっきりした現在では、ランサムウェアを含む攻撃メールが、これまでのスパム広告メールと同じくらい、毎日、大量に送られてくるようになりました。
こうなってくると、被害に遭う企業が出るのは確率の問題で、標的型メール訓練をやっている企業でも、模擬のマルウェアに引っかかってしまう従業員をゼロにすることはなかなかできない。という事実がありますから、毎日のように大量に送られてきたのでは、何かしらの折に、従業員の誰かが攻撃メールをうっかり開いてしまう可能性は十分考えられます。
もう、とにかく、確率を下げる努力をするしかない
情報セキュリティ教育をしっかりやっている企業と、まったくやっていない、という企業では、どちらが攻撃メールによる被害に遭いやすいでしょうか?
と問われた場合、教育をしっかりやっていない企業だ。と答える方は多いと思います。
実際、その通りで、弊社ではこれまで、何社もの訓練実施に協力をさせて頂いてきましたが、訓練実施が初めて。という企業ほど、模擬のマルウェアに引っかかってしまう率、いわゆる「開封率」が高い。という結果を得ています。
誰もが予想する通り、
セキュリティ教育をしっかりやっていない企業は攻撃メールにやられてしまう可能性は高い。
というわけです。
こうなるとやはり確率の問題で、毎日大量のランサムウェアを含むメールが手を変え、品を変えて送られてくるという状況で、それを受け取る企業側が高い開封率を持っていたら、被害に遭ってしまう可能性は当然高くなります。
こうした状況に対し、企業側が何も対策をしていないならば、攻撃者側がすることは簡単で、今以上にもっと大量に攻撃メールを送ればいい。ということになります。
メールを送るだけで、数十万円からものお金がせしめられるなら、こんな楽なことはありませんよね。まさに不労所得でウハウハです。こんなおいしい商売なら、自分でもやろうとする人が、後を絶つどころか、ますます増えるのも当然のことと言えます。
こんな状況にもかかわらず、「うちはいいよ」「そんなことやってる暇はない」とばかりに、セキュリティ教育も何もせず、従業員任せでほったらかしの企業は、攻撃者にとってはまさに「おいしいカモ」と言えるでしょう。
あなたの会社が被害に遭いたくないのなら、もうとにかく、被害に遭う確率を減らす、つまり、従業員に対する情報セキュリティ教育をしっかり行い、たいていの攻撃メールには引っかかったりしない。という状況にするしかありません。
ランサムウェアに引っかかってもお金払えばいいじゃん。と考えることの愚
ランサムウェアが商売として上手なところは、セキュリティ対策にかかる費用よりも少ない金額で元に戻してもらえる。というところです。
セキュリティ対策に毎年多額の費用をかけるより、万一、ランサムウェアによる被害に遭ってしまっても、お金を払って元に戻してもらうほうがお安く済む。となれば、面倒でお金がかかるセキュリティ対策なんてしないで、被害に遭ったらお金で済ませればいい。と考える企業が出てきてもおかしくはありません。
これはこれで一理ありますが、リアルの世界では、一度詐欺商法に引っかかった人は、「カモの情報」として裏社会でその情報が流通し、次から次に色々な詐欺会社から狙われる。という事実があります。
これと同じように、被害に遭ったらお金で済ませればいい。と考えている会社の情報があれば、攻撃者達にとっては垂涎の情報として流通するはずです。
これが意味するところはつまり、
何も対策をしていない会社にはどんどん攻撃メールを送り、どんどんお金を払ってもらえばよい。
ということになる。ということです。
お金を払って済ませればいいじゃん。という考えは、あなたからお金をせしめようとたくらむ人たちをますます呼び寄せることになる。ということです。
このような事実を前にしても、「お金を払って済ませればいい」「うちは別にいい」「うちには関係ない」と言っていられるでしょうか?
最近では、お金を払っても犯人と連絡がつかず、暗号化されてしまったデータを元に戻せない、また、そもそも犯人側にデータを元に戻す気が無いといったケースも登場しているそうです。こうなるともう、どうしようもないですよね。
御社では、被害に遭う確率を下げる努力をしていますか?
従業員に対するセキュリティ教育は今のままで本当に良いのか?また、大丈夫と言えるのかどうか、この機会に考えてみて頂ければと思います。
→次の記事へ( 企業を狙った攻撃メールはルール無用のガチ勝負、担当者との知恵比べだ )