米国の政府機関では、スパム、フィッシング、スパイウェアというインターネット上の3つの脅威に対処する体制が整っていない、と米政府の監査官らは結論づけた。
最近まで外部からの攻撃で身近なセキュリティ上の脅威といえばウィルスやワームでしたが、今はスパム、フィッシング、スパイウェアが身近で最も大きな脅威であると思います。(ウィルス対策に力を入れなくて良いという事ではありません。念のため)
これら3つの脅威への対応は、ウィルス対策に比べると、ユーザ教育が非常に重要になってきます。システム的に対処を行いづらいため対策コストが多く必要になる割には高い効果も期待できません。
企業では、ウィルスを同様に、スパイウェアがPCに紛れ込まないシステム管理を行う事も十分可能です。しかし、システムとして対応できない部分、例えば非常事態が発生した場合の対応のマニュアル化などはやらなければならない事は山積みです。
最近、ファミリーレストランの店長を、クレームなど、何らかの理由で外部に呼び出し、店長が留守のすきにアルバイト店員を騙して売上金を奪う詐欺が目立ってきているようです。
クレームを装って店長を呼び出し、残った店員から現金を受け取るという手口はソーシャルエンジニアリングを利用した犯罪の典型例です。スパム、フィッシング、スパイウェアを利用する攻撃もソーシャルエンジニアリング攻撃といえます。最大の問題はソーシャルエンジニアリングに対してウィルス対策ソフトウェアのような特効薬がないことです。困ったものです…
