防ぎようのないサイバー攻撃､｢被害後の対応｣で大差が出る！ ｢Chrome拡張機能｣改ざんで最大約40万人被害か

「企業であれば、インストールできる拡張機能を制限することである程度の統制を取ることは可能です。Google Workspaceを利用している場合、Chrome Enterpriseという企業向けブラウザのサービスを使えば管理者側で利用可能な拡張機能を設定できるようになります」

個人で利用する場合も、インストールする拡張機能を必要最小限に絞り、使っていない拡張機能を削除することでリスクを減らすことができる。また、アンチウイルスソフトや不審な通信を検知する製品を入れておくことで、被害に遭った場合に早期に検知される可能性はある。

ただし、これらの方法はあくまでも少しでもリスクを減らすための対策であり根本的に被害を防げるものではない。

インシデント「発生後の対応」が重要

今回の被害で拡張機能が偽物に置き換えられてしまった要因は、拡張機能の提供社側のエンジニアがフィッシング被害に遭ったことだとされている。Googleを名乗る送信者から拡張機能の管理者に向けたサポートを装ったフィッシングメールが送られ、そのメールから拡張機能の管理者用アカウントにアクセスしたことで、ログイン情報が漏えいしてしまったという流れだ。

こういった出来事は他人事ではない。フィッシング被害に遭うことが大きなトラブルにつながることは業界や業種を問わず起こりうる。では、フィッシング被害をトレーニングなどで未然に防ぐ方法はあるのだろうか。

辻氏は、「被害を防ぐための訓練ではなく、被害に遭った後の対応をトレーニングすることのほうが重要」だと話す。

もちろん、怪しいメールに事前に気づくことができればそれに越したことはない。とはいえ、「だまされないようにすることは、人間がもっとも苦手とする部分」だと辻氏はいう。人間が判別できなかった場合の被害を防ぐために、不審な通信をブロックするなどの方法で体制を整えることがまず必要になるが、それでも被害が発生することはある。