ソーシャルメディアは、顧客や同僚とグローバルにコンテンツを共有し、企業ブランドを確立するための最速の手段であり、ビジネスの世界において重要な役割を果たしています。
リモートワークというパンデミックの「ニューノーマル」によって、企業環境におけるソーシャルメディアの利用は高まり、数回クリックするだけで世界中の誰かとつながったり、情報を送ったりできるようになりました。攻撃者は、人々が常に「つながっている」ことを知っているため、共有された個人情報を悪用して、アカウントに侵入し、情報を盗み、組織に侵入します。
庭の手入れを定期的に行うことで花が咲くように、ソーシャルメディアアカウントの手入れを行い、何を投稿すべきかを把握し、セキュリティ意識向上トレーニングと最善のセキュリティ対策を採用することは、ソーシャルメディアの「虫」や「雑草」を寄せ付けないために必要不可欠なことです。
SNS情報漏洩の事例
ソーシャルメディア上で「フォロワー」や「コネクション」を増やすことは、強力な顧客基盤を構築したり、企業のメッセージを伝えたりするのに有効な手段ですが、攻撃者はこれを信頼構築の入口として利用する可能性があります。
講演や会議のために顧客とつながりたいユーザーにとって、LinkedInは最適なソーシャルメディアプラットフォームの一つです。会社における個人の役割や潜在的な課題に関するインサイトが得られるため、従業員は顧客とより生産的な会話ができるようになります。
残念ながら、LinkedInは攻撃者に多用されています。攻撃者は個人の役割を知ることで、誰が機密データへの高い権限を持ち、より良い「餌」になるかを判断しようとします。
攻撃者は、人間の本質を突くために、常に現実的なシナリオを選びます。また、感情を巧みに操り、被害者を騙したり脅したりして、攻撃者に有利な行動を取らせることもあります。
図1. 攻撃者は現実的なソーシャルメディアのテンプレートを使って、見知らぬ人とつながり、組織における特権について詳しく調べます。
上記の例では、サイバー犯罪者は、一見、個人的なメッセージとつながり申請をターゲットに送信しています。「Jason Riley」を装った攻撃者は、受信者と間接的に働いていることを示すことで、親密な関係を築こうとしています。さらに、「休憩室」で受信者に会えるのを楽しみにしているとまで書いています。大企業のオフィスには数百人の従業員がいるため、ユーザーは攻撃者が別の部署の従業員であると簡単に信じ、その申請を承認する可能性が高くなります。
上記の例で攻撃者が使っているもう一つの手口は、ターゲットの仕事について「素晴らしい評価」があると褒めているところです。この戦略は、受信者を良い気分にさせ、攻撃者の好感度を上げます。
知らない人のプロフィールをよく確認せずにつながり申請を受け入れると、ユーザーが会社で持っている特権に関する情報、チーム内の他の同僚の「コネクション」へのアクセス、履歴書や職務経歴書に書かれている経験に関する詳細へのアクセスを誤って犯罪者に与えてしまう可能性があります。このような豊富なデータは、サイバー犯罪者が次の攻撃のための理想的な犠牲者を特定するのに役立ちます。
SNS情報漏洩と会社
ソーシャルメディアは、純粋で透明性の高いつながりを構築するための強力なコミュニケーションメディアであるため、多くの情報を共有したくなることがあります。しかし、サイバー犯罪者は、あなたの個人情報を盗むために利用できる機密データを常に探しています。
私たちの多くは、一日の大半を職場で過ごしています。そして当然ながら、仕事中に重要な出来事を友人や同僚とソーシャルメディアプラットフォームで共有したいと思うこともあります。そこで、自分のソーシャルメディアアカウントで何を共有することが適切で何が危険なのかを知り、アカウントや個人情報を盗むためのドアを開ける鍵を誤って犯罪者に渡してしまわないようにすることが重要です。
図2. 人々は、犯罪者がアカウントや企業情報を盗むために使用する機密情報を無意識のうちに共有する可能性があります。
上の例を見てみましょう。新しい仕事を始めたばかり、またはチームを異動したばかりの従業員が、自分のバッジとワークステーションを含めて自撮り写真を撮っています。請求書と思われる書類など、ソーシャルメディア上で決して公開してはならない重要な情報が写っています。
攻撃者はこの人物の権限を知り、会社の請求書の情報を使って今後攻撃を仕掛けることができるため、偽の依頼の信憑性が高くなってしまいます。
たった一人の従業員の安全でない行動が、組織を危険にさらすことになります。セキュリティチームは、ソーシャルメディア上で「共有してもいいこと」と「共有すべきでないこと」、そしてソーシャルプラットフォームを使用する際に従うべきベストプラクティスについて、ユーザーを教育する必要があります。自分自身や会社にとって不利になるような投稿する前に、よく考えるよう従業員に注意を促してください。
SNSの情報漏洩対策
ソーシャルメディアプラットフォームでの適切な共有や接続の方法をユーザーが理解できるようにするには、定期的な働きかけが必要です。Proofpoint Social Media Awareness Kit は、その一助となります。このキットは、ユーザーが日常生活の中でベストプラクティスを学び、ソーシャルメディアの「庭」を管理できるよう、短時間の学習コンテンツを提供しています。さらに、このキットは、ユーザーが学んだスキルを仕事だけでなく、私生活や家庭生活にも広げることができるため、個人情報も保護することができます。
この2週間のプログラムは、以下のテーマを中心に構成されています。
- Week 1: プログラム開始 -「安全な」ソーシャルメディアの習慣と「危険な」ソーシャルメディアの習慣を定義する
- Week 2: ソーシャルメディア上のフィッシングを回避するための実践的なヒントで教育を拡大する
庭を育てるのが大変なのは、害虫が常に近くで栄養を奪おうと待ち構えているからです。それと同じように、ソーシャルメディアのアカウントも、攻撃者の目をそらし、最大限活用するためのメンテナンスが必要です。Proofpoint Social Media Awareness Kitを使用すれば、6月30日の世界ソーシャルメディアデーに備え、ユーザーがソーシャルプラットフォームでコンテンツを共有する際に賢い選択ができるよう支援し、攻撃者を寄せ付けないようにすることができます。