メールのセキュリティは、多くの人があまり気にしていないことだろう。毎日のようにパスワードを盗もうとするフィッシング攻撃にさらされているわけではないのに、コンプライアンスのチェックボックスにチェックを入れるために、自社からテストとして送られてくるフィッシングメールをかわすことを期待されているのだ。
あるセキュリティスタートアップは、この状況を変えたいと考えている。Tiffany Ricks(ティファニー・リックス)氏は2017年にテキサス州ダラスにHacWareを創業した。同社は、本業に支障をきたすことなく中小企業にサイバーセキュリティに対する意識を高めるサポート事業を展開するスタートアップだ。
「私たちは彼らにサイバーセキュリティについて知らないことを示し、彼らが仕事に戻れるように支援しようとしています」とリックス氏はStartup Battlefieldへの参加に先立ちTechCrunchに語った。
リックス氏は、米国防総省の元請負業者であり、倫理的なハッカーとしてのルーツを持っている人物だ。侵入検査員、つまり「red teamer」(レッド・ティーマー)として、ソーシャル・エンジニアリング攻撃を含む多くのテクニックを使って、企業のサイバーセキュリティ防御の限界をテストしていた。具体的には、誰かを騙してパスワードやシステムへのアクセス権を引き渡すことなども含まれていた。
「ソーシャル・エンジニアリングの従業員が組織に侵入するのは非常に簡単でした」とリックス氏。「しかし、市場に出回っている既存の製品では、規模に応じてユーザーを教育することはできませんでした。そこで、私たちは自社で製品を開発しました」と続けた。
HacWareのサービスは、企業のメールサーバー上に設置され、機械学習を利用して各メッセージを分類し、リスクを分析する。怪しげなリンクや添付ファイルなど、フィッシングメールと同じようなものを探すことができる。
同社は、財務部門や人事部門など、従業員の機密情報を盗み出そうとするビジネスメールの漏洩攻撃に対して、脆弱で最もリスクの高いユーザーを特定しようとする。また、ユーザーの受信箱にすでに入っている内容を利用して、自動でシミュレートされたフィッシング攻撃を利用し、ユーザーをテストするためにパーソナライズされたフィッシングメールを送信する。
Verizon(ベライゾン)の年次データ侵害報告書によると、フィッシングやその他のソーシャルエンジニアリング攻撃を利用して機密情報を盗もうとする攻撃者にとって、電子メールは依然として最もポピュラーな手段だ。これらの攻撃者は、あなたのパスワードを欲しがったり、従業員の税金や財務情報などの機密文書をだまし取って送信しようとしたりする。
しかし、格言にもあるように「セキュリティの連鎖の中で最も弱いのは人間」だ。
二要素認証のような強力なセキュリティ機能を実装すれば、ハッカーがアカウントに侵入するのがはるかに困難になるが、それも万能薬ではない。Twitterが壊滅的な不正アクセスに見舞われたのは7月に入ってからで、ハッカーがソーシャルエンジニアリングの技術を使って従業員を騙して内部の「管理者」ツールへのアクセス権を与え、それを悪用して知名度の高いアカウントを乗っ取り、暗号通貨詐欺を広めたのだ。
HacWare社の電子メールセキュリティに対するアプローチは、いまのところうまくいっているように見える。「フィッシングの反応が60%減少した」とリックス氏を語る。自動化されたフィッシング・シミュレーションは、ITの負荷を軽減するのにも役立っているという。
リックス氏は、シードアクセラレータのTechstarsのアクセラレータープログラムに参加した後、HacWareをニューヨーク市に移転した。同社は、100万ドル(約1億600万円)のシードラウンドの調達を目指しているとのこと。今のところ、同社はメールセキュリティに「集中」しているが、もちろん今後の成長も視野に入れている。
「私は人間の行動を理解し、そのリスクを軽減する方法を見つけ出すことにまで拡大していくと考えています」とリックス氏は語る。「サイバーセキュリティは統合的なアプローチだと信じています。しかし、まず根本的な原因から始める必要があります。根本的な原因とは、社員が健全なサイバーセキュリティの意思決定を行えるようにするために必要なツールを実際に社員に提供する必要があるということです」と締めくくった。
画像クレジット:MirageC / Getty Images
[原文へ]
(翻訳:TechCrunch Japan)