Web上で非常に人気の高いSNS（ソーシャルネットワーキングサービス）であるFacebookとTwitterは先週、フィッシング攻撃を受けたことで注目を集めた。広く普及しているSNSだが、企業のデータを狙う多くのフィッシャーたちは、まだSNSから獲物を釣り上げてはいない――少なくとも今のところは。

　「当社では、FacebookやLinkedInなどのSNSサイトのメッセージがフィッシング攻撃で利用されたという事件にまだ対処したことはないが、いずれそういったことが起きるだろう」と話すのは、米セキュリティサービス企業Intrepidus Groupのロイト・ベラーニCEOだ。「企業にフィッシング攻撃を仕掛ける手段としてSNSがあまり利用されていないのは、企業がSNSを受け入れるか拒絶するかまだ検討している段階にあるからだと思う。各社は現在、自社のブランドや商標をSNS上で注意深く監視するためにお金を掛けている段階であり、SNSを全面的に受け入れることに対しては慎重な構えを示している」

従業員がフィッシャーのわなに掛からないようトレーニングする上でのヒントを以下に示す。
1. 具体例を示す（言葉だけでは不十分）

　自分たちにどんな関係があるのかを従業員が理解すれば効果が上がる。例えば、実際のフィッシングメールを見せ、スピアフィッシャーが社内および社外で人々を標的にする数々の手法を示すのもいい。

　「職場だけでなく自宅でも役立つセキュリティTipsを学んでいると従業員が感じたら、学ぼうとする意欲が高まる」とベラーニ氏は話す。「実際のフィッシングサンプルを彼らに定期的に送信し、彼らのスキルを磨くといい。楽しいトレーニングにすることが大切だ」
2. 社内の通信ポリシーを見直す

　ベラーニ氏によると、社内のコミュニケーションに関するポリシーを見直し、フィッシングに対してどのくらい脆弱なのかを評価する必要があるという。

　「リンクが含まれる電子メールを日常的に従業員が送信しているかチェックすること。そういった習慣をやめさせ、電子メールにURLを含めるのではなく、イントラネット上のリンク、例えば“Intranet/Home/HR/New 401k”に従業員を導くような方法を検討すべきだ」と同氏は語る。
3. 不審なメールは疑ってかかる

　メールに対して疑惑を抱くことは良いことだ。知らない送信者からの電子メールには疑ってかかるよう従業員に教えること。不審な（あるいは予期せぬ）メッセージ、質問、添付ファイルなどを受け取ったら、それが正規のメールかどうかをオフラインで確認させるようにする。