eSecurity Planetに9月13日(米国時間)、「The Scammers' Playbook: How Cybercriminals Get Ahold of Your Data|eSecurityPlanet」において、サイバー犯罪者がインターネット上で働く詐欺について伝えた。フィッシングやビジネスメール詐欺(BEC: Business Email Compromise)など、ビジネスに影響を与える可能性が高い詐欺に焦点が当てられている。

サイバー犯罪者にとって最も便利なツールは最もシンプルなもの、つまり基本的なフィッシングやソーシャルエンジニアリングがサイバー攻撃の出発点として最も一般的なものとされている。具体的には、フィッシング詐欺に見られるような誤解を招いたり、人をだましたりするメールは一般的な攻撃方法の一つであり、人間の「取り残されることへの恐れ(FOMO: Fear Of Missing Out)」に付け込むことが多いと分析されている。例えば「この商品は残り10個しかないので、今すぐ購入を!」といった購買意欲をあおるためによく使われる手法と同じトリックだと説明されている。

サイバー犯罪者から身を守るには、組織のあらゆるレベルでの警戒が重要となる。メールゲートウェイやDMARC (Domain-based Message Authentication, Reporting, and Conformance)などのツールは安全性を保つ上では効果を発揮するが、100%確実な解決策にはならないという。

企業がサイバーセキュリティを確保するには、従業員ひとり一人がその基準を満たすために役割を果たす必要があり、従業員向けのサイバーセキュリティトレーニングが、可能な限り情報を安全に保つために有効な手段だと説いている。

また、たとえベストプラクティスに従って優れたサイバーセキュリティソリューションを導入したとしても、サイバー犯罪者が機密情報にアクセスする方法を見つける可能性を忘れてはいけないという。サイバー攻撃によるビジネスへのダメージを最小限に抑えるために、トリアージとバックアップの手順を確立しておくことも重要だと助言している。

従業員に対する徹底したサイバーセキュリティトレーニング、最新のサイバーセキュリティソフトウェアまたはサービスは、あらゆる組織においてデータを安全に保つ上で不可欠だと指摘されている。