英国立サイバーセキュリティセンター(NCSC-UK: United Kingdom's National Cyber Security Centre)は12月20日(英国時間)、「Telling users to ‘avoid clicking bad links’ still isn’t working - NCSC.GOV.UK」において、不正なリンクをクリックしないよう注意を促すという助言は、サイバー攻撃対策として有効ではないと伝えた。ユーザーは時に意図せずに悪意のあるリンクをクリックしてしまうことがあり、組織で保護する責任があると伝えている。

  • Telling users to ‘avoid clicking bad links’ still isn’t working - NCSC.GOV.UK

    Telling users to ‘avoid clicking bad links’ still isn’t working - NCSC.GOV.UK

企業・組織において、ユーザーはしばしば見知らぬドメインからのリンク先を確認しなければならない時がやってくる。しかし、ユーザーにとってフィッシングを見分けることは本来の仕事ではない。サイバー攻撃者は単にネットワークに侵入するためにたった一人のユーザーをだますだけでよく、この攻撃に対して、組織側がユーザーを保護するための軽減策を実施することが重要だと説明されている。

NCSC-UKはFIDO (Fast IDentity Online)トークンを使ったデバイスベースのパスワードレス認証など、サービス全体に強力な認証を義務付ける軽減策を紹介している。また、リンクや添付ファイルを介して不正なファイルをダウンロードさせる一般的な攻撃手法に対して、フィッシングメールの受信軽減策や初期コードの実行防止策など、ユーザーの責任を軽減する企業レベルの対策も紹介されている。

企業・組織に対しセキュリティ対策の実施が推奨される一方で、ユーザーに対するセキュリティ意識の向上に関するトレーニングの重要性も取り上げられている。不審なリンクを発見できるようにユーザーを訓練する価値があるとされており、強力な報告文化を構築することが組織に必要だと述べられている。

組織もユーザーも共にサイバーセキュリティに対して知識を高めることが重要とされており、ユーザービリティとセキュリティを両立させながら、対策を継続して実施することが望まれる。