社員がフィッシング詐欺にあわないように偽メールを送り教育する「Riot」

Y Combinatorに現在参加しているRiotは、フィッシング詐欺を防ごうとしている。Riotは、偽のフィッシングをクライアント企業の社員に対して試みる。例えば「あなたのGoogleアカウントが無効になった」というメールを社員に送り、その通知メールの真偽を見分けられるかどうかを確かめる。

2ファクタ認証、シングルサインオン、アクセスポリシーのおかげで、プロダクトや社内ツールの保護はかつてないほど容易になっている。しかし大きな脆弱性として残っているのは人間だ。データ侵害の多くは、社員のアカウントの問題から始まる。

言い換えれば、企業のセキュリティは注意深さに欠ける社員によって左右されるということだ。だから今後は、セキュリティのリスクに関する社員教育が重要になるだろう。

Riotには現在、3つのモジュールがある。1つ目は社員に対して偽のフィッシング攻撃を仕掛ける。少なくとも1カ月半に1回はフィッシングのメールを受け取るなどと期間を設定し、テンプレートをライブラリから選ぶ。現時点でRiotから送信できる通知の種類はMicrosoft、Google、Dropbox、Slackのアカウントの停止、GoogleまたはDropboxの書類の共有、不明の相手からのボイスメールだ。

Riotの創業者でCEOのBenjamin Netter(ベンジャミン・ネッター)氏は筆者に対し「新しいボイスメールは、noreply.linkというドメインからのメールで通知される」と述べた。

2つ目は、管理者が社員のレベルをチェックできる使いやすいダッシュボードだ。社員がだまされなかったか、リンクをクリックしてしまった人はいないか、さらに悪い状況としてログインしようとしてパスワードを入力してしまった人はいないかを確認する。このダッシュボードで、時間の経過に伴う成長を見たり、一部の社員に対してさらに頻繁に訓練を実施したりすることができる。

そして3つ目として、社員が訓練にひっかかってしまった場合、企業は簡単なセキュリティトレーニングを提供できる。トレーニングはチャットのようなインターフェイスで、いくつかの質問が与えられる。デスクトップでもモバイルでも動作し、数分以内で終わる。メッセージを理解するには、退屈なウェブセミナーよりも短くて楽なトレーニングのほうが効果が高いだろう。

ネッター氏は「次のステップはCEOのトレーニングだ。これについてもいろいろ考えている。Amazonのギフトカードを10枚買ってきて欲しいというメールがマネージャーからアシスタントに対して送られるという話を、これまでにたくさん聞いた」と語る。

CEOに対する詐欺は、もっと深刻なことになりかねない。攻撃者は、多額の銀行振込を要求する請求書を経理部門に送ってくることもある。

ゆくゆくは、Riotは教育にとどまらないモジュールを提供する可能性もある。例えば、スタートアップは自社のRiotのデータに基づいて、サイバーセキュリティ保険商品の契約条件を保険会社と交渉できるかもしれない。

Riotを創業したネッター氏は、October(以前の社名はLendix)の共同創業者でCTOだった。Octoberはヨーロッパでトップクラスのクラウド貸借プラットフォームのひとつだ。ネッター氏はこの企業でリスク評価の経験を積んだ。

Riotはスタートしたばかりで、契約したクライアントはまだわずかだ。プランの価格は、社員50人以内の企業で、1カ月200ドル(約2万1500円)からとなっている。

[原文へ]

(翻訳:Kaori Koyama)

モバイルアプリの脅威に対処せよ

too-many-apps-fb

【編集部注】著者のRobbie ForkishAppthorityの技術担当副社長である。

好みのアプリを無料で入手する。引き換えに迷惑な広告の表示を受け入れる。これは公平な取引のように思える。

しかし引き換えにしているのは、広告の表示が全てではない。実際には、この取引は相当量の個人情報を引き渡しているのだ。あなたの居る場所、オンライン履歴、連絡先、スケジュール、あなたのアイデンティティ、その他…モバイルアプリは、膨大な量の個人データを収集している。そして、そうしたすべてのデータがモバイル広告ネットの中で瞬時に共有されている。どのような人にでも、その場所とタイミングに合わせて、最も適した広告を表示できるようにするためだ。

ということで、「トレードオフ」は実はアプリの広告ではない。アプリによる厚かましいモバイル監視なのだ。無料で広告付きのモバイルアプリを承認することによって、継続的かつ包括的な個人情報監視をもたらす経済モデルに同意したことになる。それはアル・ゴアがストーカー経済という名で正確に特徴付けたものだ。

なぜ私たちの個人的所在や行動データが、マーケティング担当者によって切望されるのだろうか?なぜなら消費者としての私たちは、スマートフォンを何処に行くにも持ち歩いていて、恒常的に様々な種類の情報を撒き散らしているからだ。もし広告主たちが、私たちが誰で、私たちが何をしているのかを知ることができれば、もっと効果的な広告を配信することが可能になる。これは近接マーケティング(proximity marketing)と呼ばれるものだ。例えばRite Aid(米国の薬局チェーン)の店内通路を歩いていると「マウスウォッシュが今なら10%引き」という広告を電話機に送りつけてくるのが、そうしたものの1つだ。

まあこの程度なら迷惑には感じるものの、実害があるようには思えない。しかし、実際には見えないところで様々なことが行われている。例えば、大手小売店なら、あるティーンエイジャーの行動、検索、そして購買データを単純に相関付けるだけで、両親が気が付くより早く彼女の妊娠に気が付くことができるようなシステムを構築できる。そうすればその小売業者は、DMまたは電子メールを介して、あるいは彼女がPOS端末に近近付いた時に携帯電話にメッセージを入れることができるというわけだ。こうした私たちのプライバシーへの立ち入りを無くすことは(もし可能だとしても)容易ではない。アプリ開発者と広告主に対する経済的インセンティブが大きすぎるためだ。

不正侵入されたスマートフォンは、対象の従業員だけではなく、会社全体に対して脅威を与える。

まあ、こうした消費者への監視が、侵入的で不気味なものであることには合意できるだろう。しかし、それが企業のセキュリティを、どのように脅かすのだろうか?単純だ。パーソナルモバイル機器がビジネスの世界に浸透するにつれて、そうした機器からの漏洩が、企業のハッキング、業務データの盗難、重大なサイバー攻撃への扉を開いている。

例えば、ある会社が、その従業員たちに会社のカレンダーと電子メールのアカウントを個人のモバイルデバイスに同期させていたとすれば、そこにはあらゆるリスクが発生する。従業員たちの電話機が一斉に、組織全員の連絡先情報にアクセスできるようになるのだ。また、従業員たちの連絡先やカレンダーへのアクセスを要求する別のモバイルアプリは、企業の他の従業員の名前や肩書にアクセスしたり、全てのプライベートなカンファレンスコールのダイアルインコードにアクセスすることができる。こうした情報は、スピアフィッシング攻撃(特定対象を狙ったフィッシング攻撃)のために、悪質なアプリやハッカーによって、簡単に活用されてしまう。

さらに悪いことに、多くのアプリがそのユーザー情報を広告ネットワークと共有し、そのデータを他のネットワークのものと組み合わせている。このためデータが正確に何処へ流れていくのかを知ることはできず、そのデータにアクセスする数多くの組織によって、果たしてセキュアな方法で扱われているのかも不明なのだ。こうした共有が意味することは、悪意あるハッカーが、ある企業を攻撃するためには、特定の従業員の電話を直接アクセスする必要すらないということなのだ。彼は、何百万人ものユーザーの情報を持っている広告ネットワークをハックして、そこから始めることができる。

盗まれた情報はまた、水飲み場型攻撃(watering-hole)を介して企業の攻撃に利用することができる。例えば、ある企業の小さな幹部グループが、地元のレストランで定期的に昼食を持っているとしよう。彼らのジオロケーションデータへのアクセスが可能な攻撃者なら、この事実を容易に知ることができる。攻撃者にとって、この幹部のうちの誰かがランチの前にレストランのウェブサイトにアクセスして、メニューをみたり予約したりするだろうと想像することは容易だ。防御が厳しくないサイトにマルウェアを配置することにより、攻撃者は、1人または複数人の企業幹部のオフィスのコンピュータあるいはモバイル機器に不正侵入することができる。そしてそこが侵入の起点となるのだ。

不正侵入されたスマートフォンは、対象の従業員だけではなく、会社全体に対して脅威を与える。仕事とそれ以外の従業員のアクティビティに関する情報が、会社の電子メール、そしてドキュメントや機密情報と組み合わさり、悪意ある者の手に落ちることで、組織に対して壊滅的な影響が生じる可能性がある。

企業は脅威に対抗するために何をすべきか?

まずモバイル環境の可視性を高めるのが第1歩だ。組織は、従業員たちがどのようなアプリを利用しているか、それらのアプリが何をしていて、企業のセキュリティポリシーに合致しているか否かを知る必要がある。例えば、従業員に使用して欲しくない、特に危険なファイル共有アプリは無いだろうか?それは既に利用されてはいないだろうか?もし従業員が仕事に使っているアプリを知らないとしたら、盲目の飛行を行うことで巨大なリスクに晒されているということだ。

企業はその全体的なセキュリティ戦略の一環として、モバイル脅威への対策を含めることが不可欠だ。

第2歩として、モバイル機器利用を管理するポリシーが必要だ。ほとんどの組織は、既にファイアーウォールを管理したり、パートナーとデータを共有する場合などの、他のプラットフォーム向けのポリシーを持っている。モバイルのためにも、こうしたポリシーを作成することが同様に重要だ。例えば、もし従業員が、会社の承認の下に広告入り無料アプリを使っているのなら、従業員に対して、有料バージョンへの切り替えを求めるポリシーを作成する。これによって、完全には排除できなくても、承認されていないデータが広告の形で従業員に送られることを最小化できる。とはいえこれは個人的なプライベートデータの執拗な収集を排除することはできない。

次に、従業員たちに対して、ダウンロードしたアプリの危険性について、組織として教育しなければならない。ユーザーたちがどのアプリをダウンロードすべきかを決定する際に、より良い判断ができるように、ツールとトレーニングで彼らを強化することが最大の関心事だ。例えば、許可を求めるアプリに対しては疑惑の目を向けるように、従業員を導こう。場所や、連絡先、そしてカメラへのアクセスを求めるアプリは沢山存在する。しかし従業員たちが、それらに盲目的に「はい」と言う必要はない。大部分のアプリはその許可を与えなくても正常に動作して、本当に必要となった場合に改めてユーザーへ許可を求めて来る。もしアプリが何故そのアクセスを必要としているかを言わないなら、それは大きな危険信号だ。

最後に、これらの領域の全てが、優れたモバイルセキュリティソリューションで対応することが可能だ。モバイル脅威保護ソリューションを採用しないあらゆる企業は、どのような情報がどこから漏洩しているのかを知ることができず、その環境に存在する危険に対処することができない。だから、従業員のプライバシーと企業のデータを、増え続けるモバイル監視とデータ収集の脅威から守るために、モバイル脅威への保護を全体セキュリティ戦略の一部に含めることが、企業にとって必須の条件となるのだ。

[ 原文へ ]
(翻訳:Sako)

Eメール認証サービスのVailMailがシリーズAで1200万ドルを調達

Turquoise color closed padlock with turquoise color binary code background. Safety concept. Illustration.

DMARCという認証技術とそれに関連するオープンプロトコルを利用したVailMailのサービスを利用することで、Eメール認証のプロセスを簡略化し、企業用メールの受信ボックスをスパムやフィッシングメールから保護することができる。これにより、独自ドメインネームを使ったフィッシングメールによって企業が攻撃されるのを防ぐことができるだけでなく、自社内外のEメールサービスがどのように利用されているかということを監視できるようにもなる。

本日、VailmailはシリーズAで1200万ドルを調達したことを発表した。リード投資家はShasta Venturesで、Flybridge CapitalとBloomberg Betaも本ラウンドに参加している。これにより、同社がこれまでに調達した合計金額は1350万ドルとなる。

このタイミングでの調達に踏み切った理由として(同社にはまだ18か月分の運転資金が残っている)、CEOのAlexander Garcia-Tobarは「私たちのテクノロジー・プラットフォームに新しい機能を追加し、Eメール認証を市場に浸透させる良いタイミングでした。また、創業後まもない企業が次々にEメール認証を導入しており、それにより生まれた大きな需要を取り込むにも良いタイミングだったのです」と話す。その理由を踏まえれば、新しく調達資金はプラットフォームのさらなる開発と、新しく獲得したクライアントへの対応するために使われると同社が話したことには納得がいく。それに加え、Vailmailは独自のエコシステムを構築するために、APIの開発にも着手している。現在、チームの人数は20人以下であるが、今後16ヶ月でその数字を3倍に伸ばす予定だ。

DMARC(Domain-based Message Authentication, Reporting and Conformanceの略)は、Eメール認証の標準的なプロトコルだ。実質ほとんどのEメールサービスがこのプロトコルをサポートしているものの、その導入はまだ比較的難しいとVailMailは話す。同社のサービスを利用すればEメール認証の管理・自動化ができ、シンプルなインターフェイスでサービスの管理やスレッドの監視をすることもできる。

valimail_1

複雑なスピアフィッシング攻撃による被害が増えつつあるなか(しかも、そのような攻撃には内部ドメインや、信頼性の高いドメインが利用される)、企業をその攻撃から守るというビジネスはVCに魅力的な投資対象として映ったようだ。

2016年に黒字化を達成したと話すVailMailは、UberやYelp、Twillio、Fenwick&Westなどの企業を顧客として獲得した。VailMailは「世界中で27億通も存在するEメールの認証を自動化することが可能だ」という表現を好んで使う。もちろん、これはサービスの規模を実際より大きく見せるための大げさな表現だ。現在、世界中の受信ボックスに入ってくるEメールは1日あたり27億通である。つまり、プレスリリースに使われているこの数字がどれだけ見栄えが良くても、それは単にVailMailが標準的なプロトコルを利用しているということを表しているに過ぎない。私がVailMailに確認したところ、同社のプラットフォームで認証されるEメールの数は一ヶ月あたり15億通で、顧客の数は現在24社だという。同社はこれまでに4000万通のフィッシング・メールからクライアントを守ってきたと話している。

[原文]

(翻訳:木村 拓哉 /Website /Facebook /Twitter