“When Clickbait Goes Bad – How to protect your Identity & Business from Clickbait Scams” September 1, 2022 by Morey J. Haber より
間違いは誰にでもありますが、たった一度のクリックで、個人情報、システムの資格情報、銀行口座や、業務に壊滅的な影響を及ぼしかねない状況では、間違いの影響度合いもずっと高くなります。悪意のメールやテキストメッセージ、ウェブサイト、アプリケーションをたった一度クリック(厳密に言うなら悪意の添付ファイルの場合はダブルクリック)するだけで、復旧に何週間、何か月、時には何年もかかるうえに、復旧が可能であるかどうかも定かでない事態に陥るのです。同じ間違いを企業ネットワークで犯せば、その影響で事業が終わってしまう可能性もあり、その修復には莫大なコストがかかり、あるいは大々的に報じられた上に、さらに別のセキュリティ侵害も引き起こすかもしれません。
悪意のクリックベイト(餌)一つで現実に人や企業が破滅するかもしれないのに、なぜこれほど多くの人々が、いまだこの過ちを犯し続けるのでしょう。このブログでは悪意のリンクや添付ファイルにまつわる課題と、サイバーセキュリティ上の予防措置に関する簡単なガイドラインに従うだけで、実際に侵害が発生した際にいかに気づき、その影響を完全ではないにせよ、大幅に軽減できるかをお話します。
なぜ間違ったリンクをいとも簡単にクリックしてしまうのか
サイバー犯罪者、ハッカー、攻撃者、脅威実行者 ― どう呼ぼうと(技術的にはそれぞれ違いがありますが)、その目的は似たり寄ったりです。あなたの個人情報を改ざんしたり、企業や組織のネットワークに侵入するための最も簡単な道を見つけたいのです。この悪意のリンクは彼らにとって切り札です。これを使って、次の2つのいずれかが行われることが多いのです。
1. 妨害行為:マルウェア感染などを拡散し、データを破壊したり改ざんしたりすることで、あなたや会社に損害を与え、不便を生じさせる(企業にとって有害になることもある)
2. 窃取:疑いを持たないユーザを騙してデータや資格情報、個人情報、金銭などの貴重品の情報を得たり、制限されているシステムへのアクセスポイントを手に入れ、あるいはそれを使って水平方向に移動して、制限されている情報やシステムへのアクセスを入手する
攻撃は、オンラインや対面で、また、通信用に使われているほぼ全ての電子機器でのやり取りでも行われます。このせいで、脅威の実行者にとっては利益の大きいビジネスモデルになっているのです。こうした組織犯罪集団は、法の手の届かない範囲で実際に「ビジネス」として活動しています。外国政府や外国人、企業などを狙って、ランサムウェア、ブラックメール、強要その他、手のこんだ策略をしかけるため、結果として倫理観を持たず、愛国心を装って活動することをいとわない人々が利益を受けることになります。
これはすべて、一見無害に見える、小さなクリックベイトのリンクが、攻撃者にとって非常に多くのことを達成できるためです。 これはソーシャルエンジニアリングと呼ばれて、クリックするように仕向ける無数の手法を使用します。情報セキュリティの分野では、ソーシャル エンジニアリングは「ヒューマンハッキング」とも呼ばれます。人々を心理的に操作して行動を実行させたり、機密情報を漏らしたりして、その間違いを悪用し、個人情報、資産、またはその他の価値のあるリソースへの不適切なアクセスを取得するためです。
ソーシャルエンジニアリング詐欺は、人間の考え方や行動についての知識を利用して、ユーザの振る舞いを操作します。脅威の実行者に必要なのは、ユーザを動かすきっかけをつかむことだけです。その知識があれば、相手を騙してメールやウェブサイトが本物であると信じさせたり、情報源が信頼できるものだと思わせたり、すぐに行動を起こさなければならないと思わせたりすることができます。また、強い感情を伴う反応(恐怖や怒り、興奮、好奇心、罪悪感、悲しみなど)を相手から引き出そうとすることもあります。というのも、人間は、感情的に望ましくない状態にあると、理性を失った危険な行動をとる傾向がずっと高くなるからです。
また脅威の実行者は、ユーザの知識の欠如を悪用しようとすることもあり、だからこそソーシャルエンジニアリングの計略の多くが、消費者がまだ知識すら持たないために発見できない脆弱性を悪用できるように、最先端のサイバー脅威を足掛かりにしているのです。ドライブ・バイ・ダウンロードや水飲み場攻撃は、こうした攻撃ベクトルのいい例でしょう。さらに、自分の電話番号や生年月日などの個人情報の真価を理解していないユーザは、こうした情報を開示する際の警戒心が薄く、個人に特化したそういう手法を使った標的型攻撃から、自らその情報を守るという意識が低いことが多いのです。
システム内の脆弱性を把握できていますか。特権アカウントを検知する無償Toolはこちらから
警戒すべきソーシャルエンジニアリング計略のトップ10
あなたが標的になりそうな、最もよく見られるソーシャルエンジニアリング計略のトップ10をリストしてみます。
1. フィッシング攻撃(メール)― 攻撃者が広く認知された信頼に足る企業を装い、疑うことを知らないユーザに、悪意のリンクや添付ファイル、一種の埋め込みコードなどを仕込んだ詐欺メールを開かせるタイプのソーシャルエンジニアリング攻撃。クリックしたり開いたり、または実行したりすると、コンテンツが多様な種類のマルウェア(またはランサムウェア)をインストールして、ユーザのデータや資格情報を盗み、侵入の足掛かりを作り、資産を質に取る。従業員が多くのフィッシング攻撃の一番の標的になると考えられるのは、メールやソーシャルメディアなど、外部と接点があるツールを持っているため、攻撃者はこれを足場に従業員のアカウントに侵入し、組織内のネットワークを使って水平方向に移動することができるため。
フィッシング攻撃に至るユーザーの好ましくない振る舞いに打ち勝つ方法について(BeyondTrust社サイト、英語)
フィッシング攻撃の防止方法のデモを動画で(BeyondTrust社サイト、英語)
2. スピアフィッシング ― メール(メールと添付ファイルであることが多い)、ソーシャルメディア、インスタントメッセージなどを使い、企業内の特定の個人やグループを狙った特殊型のフィッシング。目的は、相手のユーザが個人情報を漏洩したり、ネットワークを破壊したりデータや金銭に損害を与えたりする行為を行なうように仕向けること。通常こうしたことは、攻撃する対象を事前に調査して高いレベルで個人を特定し、させたい行為を対象が実行する確率を高めた上で行われる。このような攻撃は、正当な範囲では標的だけが知っていたり認識できる情報を使うことで、情報源が信頼できるものだという信頼性を高めるよう作られている。
3. ホエーリング攻撃 ― 上級管理職や経営陣などを狙って標的を絞り込み、さらに高度になった別の形のフィッシング攻撃。定義上はスピアフィッシング攻撃を高度にしたバージョンとされ、それは目的が「ホエール(クジラ)」、つまり企業の管理職の層に入りこむことからだ。こうした攻撃は、ビジネスで使われる用語や口調を用い、緊急性を匂わせてユーザが続いて電子送金のような行為を起こすよう、よく作りこまれた詐欺メールという形態が特徴。金融機関やクラウドストレージのサイト、ファイルホストのサイト、E-コマースのサイトなどが最も標的になりやすいのは、その幹部がインターネットで簡単に特定できるからと考えられる。ホエーリング攻撃は、脅威の実行者にとって利益が大きく、会社を大きなリスクにさらす危険があるが、それは、幹部には部下に命じて要求を実行させる権能のため。
4. スミッシングとビッシング ― メールフィッシング同様、スミッシングはユーザ情報を盗むよう設計されたフォームへのリンクを含む、偽のテキストメッセージ。リンクをクリックすると、やはりウイルスやランサムウェア、スパイウェア、アドウェアなどのマルウェアがユーザのデバイスにダウンロードされかねない。これは多くの場合、デリバリーサービスや銀行、職場の上司からの緊急メールを装ったもので、緊急の問題を解決するためにリンクを使って「すぐに行動を」起こさせるか、第一段階としてエンドユーザの信頼を得て、より高度な攻撃に誘い込むために使われる。
ビッシングは、正当な会社を装った偽の電話やボイスメールを使って、相手の住所氏名、運転免許証番号、社会保険番号、クレジットカード情報のような個人情報を聞き出そうとするもの。相手の声を録音し、その録音を使って料金の支払いや金融機関口座へのアクセス権を得ることもある。電話は通常メールやテキストメッセージといった書かれた言葉よりも信頼できる伝達手段で、脅威実行者が、電力会社や保険代理店のように、すでに相手と信頼関係を結んでいる会社を装おうと見分けが困難になる。
ご自分がスミッシングの被害者かどうか – こちらも読んでみてください(BeyondTrust社サイト、英語)
5. おびき寄せ ― 魅力的な提案(映画や音楽のダウンロード、値引き、賞品など)やマルウェア感染したデバイス(USBデバイスなど)まで使ってユーザのシステムにマルウェアを感染させ、重大な情報を盗んだりするための、非常に巧みなソーシャルエンジニアリングの手法。おびき寄せのための餌は上に挙げた例のような、どのようなものでもよく、ユーザは本当にしては話がうますぎると感じたらきっと詐欺に間違いない、という鉄則に従うべき。
6. ビジネスメール詐欺(BEC)― 特に企業を相手にしたメールによるサイバー犯罪。よく使われる手口は、メールアカウント侵害(EAC)や乗っ取り。どちらも検出や予防が難しく、クラウドベースのインフラストラクチャがより一般に広がるにつれて増加中。BEC詐欺は、脅威の実行者が正式な従業員を装って、ワークフローに干渉したり、例外措置や特例を使って資金や情報を悪意の人物に横流ししたりすれば、企業に膨大な損失を与える可能性につながる。
7. 技術サポート、値引き、法律の専門家を装った詐欺 ― この手の詐欺は、正当なサポートサービスやサービス機関、法執行機関などを装い、多くの場合はウェブブラウザ、フィッシング、スミッシング、ビッシングなどを使って悪意のリンクに誘導するポップアップが特徴(つまり、偽のエラーメッセージが出て、偽のヘルプラインやウェブサイトへのリンクへ誘導する)。問題が起きた、あるいは、これはチャンスだとユーザに信じ込ませ、ギフトカードなど追跡不能な手段で支払いを要求。最終目的は金銭のこともあれば、被害者を助けるふりをしてほかのマルウェアにIT資産を感染させることもある。
8. ロマンス詐欺 ― 犯罪者や詐欺師がオンライン上で身分を偽り、被害者の信頼と愛情を勝ちえて彼らを操作して盗みを働く。デートサイトやソーシャルメディアサイトに常駐しており、仕事のために国を出ていると言っていることが多く、最終的に健康上あるいは法律上の緊急事態の発生を理由に金銭を要求する。一部は被害者の銀行口座情報にアクセスできて、別の盗みや詐欺計画にこれを使うこともある。この種の詐欺の被害者は、脅威の実行者がしてみせる演技に感情を動かされ、引っかかってしまう。
9. スケアウェアと個人に対する脅威 ― 相手を脅すことで偽のウェブサイトに誘導して感染させたり、悪意のソフトウェア(マルウェア)をダウンロードさせたりする手口。よくあるのはポップアップ広告やスパムメールで、脅威などの差し迫った問題が発生したため、このリンクを今すぐクリックして解決しなければならない、と警告する形態。クリックしてしまうと、ユーザは問題解決どころかマルウェアが展開されて、他の不正な行為を誘発することにも。これは技術サポート詐欺にも近いものだが、メッセージが恐怖や緊急性、投獄の可能性などと謳っているところが特徴。
10. 水飲み場型攻撃 ― 脅威の実行者が、実在するウェブサイトを感染させたり、これを真似て似たようなURLを作ったりして、資格情報や個人を特定できる情報を取得してIDベースの詐欺に利用する攻撃。脅威の実行者はさまざまな餌でユーザを釣り、被害者が攻撃に気づかずにログインしたり、他の情報を漏らすことを期待して、悪意のウェブサイトへと誘導する。一例として、標的に悪意の「購読をやめる」のリンクをクリックさせるか、偽の「購読をやめる」フォームに記入させ、購読停止を勧める詐欺メール広告もある。水飲み場型攻撃は根本的に、ユーザがふだん正当なサイトに入力するような情報を得るために作られており、名前の由来は、喉が渇いて水飲み場にやってくる野生動物を、物陰にひそんで待ち伏せする捕食者の手口から。
悪意のリンクと善意のリンクを見極める方法
エンドユーザにとって、メール(リンクや添付)が悪意のものかどうか判断するのはなかなか難しいのですが、そうした策略を見極めるために使える基本的な実践方法がいくつかあります。多くのサイバーセキュリティの専門家が推奨するトップ5の手法を紹介しましょう。
- スペルミス、タイプミス、文法の間違い、怪しいリンクやファイル名など、メールにある間違いやおかしな表示、構成、フォーマットに注意する。これらを手掛かりに、エンドユーザはそのメッセージが疑わしいものかどうかを判断できることもありえる。メッセージの内容や、日時の設定の違和感など、送信されてきた時刻も警告になりえます。同じように、URLの体裁が通常と違ったり、画像の質が悪かったり、昔のロゴが使われていたりということなども、そのメールが悪意であるか、偽のウェブサイトにリンクづけられていること(したがって、ただちにそのサイトを離れるべきであること)を示す材料になる。
- 送信元のメールアドレスをチェックする。怪しいメッセージ、または文書へのリンクをクリックしたりダウンロードするよう求めるどんなメッセージでも、受け取ったら、正当なメールアドレスから送信されているかどうかを確認するか、会社にある世界中のアドレスリストやソーシャルメディアのプロフィールで送信元を確認する。明らかに間違っているメールアドレスや、業務用アカウントに関係のないアドレスなどは明白な証拠となりますが、もっと細かな細工にも注意を向ける必要があります。正しいバージョンを真似た偽のソーシャルメディアアカウントやメールアドレスというのが最近増えており、本文に使われている番号や記号も本物に似せてあるので、ひと目で見分けるのは困難。たとえば、O(オー)をゼロにしたり、t(ティー)の代わりに+を使ったりすれば、たいていの人はアドレスをそれ以上詳しく調べようとは考えない。
- 送信元の身元を証明または検証する。正当に見える送信元から怪しいメールやメッセージを受け取った場合、電話など別の通信手段で送信元に連絡してみるのもよい。たとえば、取引先銀行を名乗るメッセージを受け取ったら、その銀行に電話してメッセージについて問い合わせる。オンラインアカウントに関する通知を受け取った場合は、そのメールは無視して、いつもの確実な手順でアカウントにログインすれば、正当な通知なのか詐欺の意図があるものなのか判断可能。メールにあるリンクをクリックせず、自分でウェブサイトに行くようにする。
- 自分の気持ちに注意を払う。そのメッセージで好奇心や恐怖、ネガティブな反応を感じたら、そうした感情の高まりを赤信号だと考えるべき。メールは知らない人に呼び止められたときのような恐怖心をあおることもありますが、冷静でいることが詐欺と真実を見極めるには肝心。
- 進んで情報を与えるのは慎重に。メールアドレスや電話番号と言った基本的なデータでさえも、自分を危険にさらすことがある。とても本当とは思えないかもしれないが、ありうることだ。懸賞や報酬は大きな誘因で、だからこそよく使われる攻撃手法になる。大雑把に言えば、知らない、あるいは信頼できない相手には ― 特に電話やインターネット経由の場合は ― 個人を特定できる情報を与えないこと。
悪意のURLに対する最良の防御は?
悪意のリンクを特定して避ける(より良いのは報告する)方法を知ることは、大切な予防戦略になりますが、わたしたちは皆、時に間違いを犯します。メールやウェブサイトが本物らしく見えたからにせよ、わたしたちの「闘争・逃走」反応を引き起こさなかったからにせよ、悪意のリンクを見つける能力は100パーセント確実ではあり得ないのです。良質なサイバーセキュリティ衛生管理は、予防的な教育や研修、悪意によるものとの特定に失敗した場合でもわたしたちを守ってくれます。
サイバー衛生管理、またはサイバーセキュリティ衛生管理というのは、ユーザーやデバイス、ネットワーク、クラウド、データなどの健全性と安全性を維持するために、組織と個人が定期的に実行する対策の総称です。一人ひとりが講じる病気の予防策と変わりはありません。こまめにシャワーを浴びて歯を磨くのは、病原菌の広がりや虫歯を防ぎ、全身の健康を保つために取っている予防策です。同じように、企業は基本的なサイバーセキュリティ衛生管理を定期的に講じて、データ侵入などのセキュリティインシデントを防げるようにするのです。
良いサイバーセキュリティとは、コンピュータを正しく、かつ安全に運用できるよう、日々の手順のバランスをとることです。サイバーの状態を良好に保つことで、セキュリティインシデントやデータ侵入や紛失、業務妨害や作業停止時間、経済的損失や行政による罰則、悪評、法的責任などのリスクが全て軽減できます。さらに最小権限の原則のようなシンプルな考え方を導入すれば、悪意のクリックによる影響も大幅に軽減できて、頻繁にやってくる攻撃をかわすこともできるのです。
言い換えれば、何かことが起きたときは、サイバーセキュリティ衛生管理の状態が、リンクをクリックしても何も起きないか、コンピュータや会社に壊滅的な被害を与える侵入が始まってしまうかの分かれ道となるのです。これは管理者権限の剥奪といった基本的な手段があれば、そのシステムを双方向的に使っているIDの状況では悪意のコードが動作するための十分な権限を持たないので、マルウェアの侵入や実行を防げるからです。これはほんの一例ですが、脆弱性とパッチの管理や高度な検出と応答(EDR)ソリューション、ほかにも多くの基本的なサイバーセキュリティ衛生管理の概念が、このリスクを軽減するために重要です。このすべてが合わさって、エンドポイントのサイバーセキュリティ衛生管理のための5つのステップモデルの基盤となり、たとえエンドユーザが過ちを犯した場合でも問題発生の防止が可能となるのです。
サイバーセキュリティ衛生管理を良好な状態に保つための4つのベストプラクティスとは?
ここで、悪意のリンクをクリックしてしまった後でも私たちを守るために、今すぐ導入できる基本的なサイバーセキュリティ対策を紹介します。
1. OSとアプリケーションに、推奨されるセキュリティ更新が適用するか、脆弱性の公表後すぐに更新を適用できる体制を企業として整えておきます。これで間違ったリンクをクリックしたり、悪意のファイルを開いてしまったりを発端とした、既知の脆弱性につけこむ攻撃を防げます。
2. ウイルス対策ソリューションに適切にライセンス適用し、更新し、定期的にシステムをスキャンして、活動を開始していないマルウェアや高度な脅威が常駐しないようにします。
3. 日々の業務の際は、管理者ではなく標準ユーザとしてコンピュータでの通信を行ないます。この最小権限の原則の概念によって、コンピュータを感染させるために管理者特権を必要とするマルウェアを撃退することができます。この方法が今のところ、攻撃を止めるのに最も効果的で、サイバー保険会社やコンプライアンス団体からも推奨されています。
サイバーセキュリティ保険のチェックリストについて(BeyondTrust社サイト、英語)
4. 古いコンピュータを処分しましょう。OSがWindows 7やWindows XPのようにサポート終了になっている場合は、システムを更新するか、入れ替えを考えましょう。サポート終了システムにはセキュリティパッチが届かず、市場価値が低いためにウイルス対策のベンダーも更新版を出していない可能性が高いです。インターネットに接続するには安全とは言えないデバイスであり、ハッカーもこのことを承知しています。脆弱性とエクスプロイトについて、エンドユーザがリスクを軽減する方法がないため格好の標的なのです。ハードウェアを交換する余裕がなく、新しいOSとの互換性がない場合は、Google Chrome OS Flexのような製品を使ってOSを最新のものにして、保護を受けるようにしてください。
リンクをクリックしてしまったとき、サイバーセキュリティ衛生管理がものを言うのはなぜか?
理想的なシナリオでは、フィッシングのメールを見つけたり、偽のウェブサイトをアクセスしたりしたとき、セキュリティ研修の成果で脅威の可能性を認識できることになっています。その場合はウェブページやメールを閉じて、情報セキュリティ部門に脅威を報告して分析してもらい、同じコンテンツを他の人が受け取らないようにして、また必要により、別の脅威がないかIT資産を確認してもらうこともできます。しかし、手口がどんどん巧妙になるにつれ、ハイパーリンクのようなシンプルなものの中から悪意を見つけ出すのはますます難しくなります。だからこそ、良好なサイバーセキュリティ衛生管理がこれほど重要なのです。
それでは、悪意のリンクをクリックしたと仮定して、良好なサイバーセキュリティ衛生管理がどう作用し、その状況にどう影響を及ぼすのかを見てみましょう。
シナリオ:フィッシングメールを開くか、偽のウェブサイトを訪問し、悪意のリンクをクリックしました。結果として、あなたも、組織全体も侵入を受けるかもしれません……。
悪い衛生管理 | 良い衛生管理 |
---|---|
そのリンクは、クリックするとコンピュータをマルウェアに感染させる意図がある | そのリンクはコンピュータをマルウェアに感染させる意図があるため、システムで不審なふるまいを見つけたらすぐにネットワークやインターネットから隔離し、情報セキュリティ部門に知らせる |
マルウェアは、OSやブラウザ、関係のあるサードパーティのアプリケーションにあるパッチを当てられていない脆弱性を悪用して、システムをウイルスに感染させる | システムには定期的にパッチが当てられ、脆弱性は改善されているので、マルウェアはそれ以上システムやネットワークにあるものを悪用することができない |
ウイルス対策ソフトウェアが古く、特定のウイルスは検出できず、システムでの実行を許してしまう | ウイルス対策は最新に保たれ、ウイルスが動作する前に検出して撲滅できる。さらに、ウイルス対策ソリューションにEDR機能がついていれば、ウイルスが自身の痕跡をわかりにくくしようとしても、すぐにそのマルウェアからのほかの脅威を特定することができる |
システムで完全な管理者権限を持っているため、コンピュータ上で何でも実行でき、重要な設定を変更でき、システムを保護するためのセキュリティアプリケーションをアンインストールすることさえできる | 管理者権限はなくして、標準ユーザの権限で操作を行なう。このため、システム管理者権限のあるアカウントは保護されて、ひいてはMicrosoftの脆弱性のうち88%が軽減されることになる。これによって、大半のエクスプロイトがコンピュータで動作するのを防ぎ、攻撃を遮断することができる |
コンピュータで、ネットワーク上のほかのシステムと自由にファイルやプリンタ、ビデオを共有できる。システム間の水平移動が自由に行えるため、ランサムウェアやほかの脆弱性の悪用によって攻撃が引き起こされる。 | ネットワーク上にある全ての資産の間の水平移動は制限され、端から端まで網羅した通信は不能となっている。これによって、マルウェアとランサムウェアがシステムからシステムへ際限なく広がるのを防ぐ。 |
一人のユーザがユーザ名とパスワードのみで、リモートアクセスセッション(RDP、SSH、VNCなど)を開始できる。こうしたオープンポートは攻撃の際に利用され、セッションがアクティブになるとマルウェアが仕込まれる恐れがある。 | リモートアクセスセッションはすべて、多要素認証(MFA)を使い、最小権限の概念に従っている。リモートアクセスを認めている資産にはセッションを開始するための公開のリスニングポートがない。したがって、こうしたポートを攻撃の際に使うことができず、マルウェアをアクティブセッションに仕込むこともできない |
結論:サイバーセキュリティ衛生管理と注意深い監視の目によって、悪意ある行為は防げる
リスクは現実に存在します。パスワード詐取からファイル全ての暗号化(ランサムウェアの手段として)まで、あらゆることが、サイバーセキュリティ対策をおろそかにしていたせいで起こり得るのです。サイバー犯罪は主に、相手が悪意のメッセージを信じてしまうよう巧妙な手口を使うので、簡単に引っかかってしまいがちです。悪意のリンクを一度クリックするだけで壊滅的な結果を招くこともあります。しかし、そもそもこうした詐欺リンクやメールやウェブサイトを見分ける教育と訓練を受ければ、そして、基本的なサイバーセキュリティ対策に従っていれば、この危険の大半を回避できるのです。
このブログの推奨事項は100パーセントの解決にはなりませんが、間違いが起こったときに自分や自社を守ることができる最良の方法です。いちばんのお勧めは、常に誤ったクリックを避けるよう訓練と教育を受けておくことですが、万が一クリックしてしまったときでも、管理者権限の剥奪など衛生管理の状態をよくしておけば、それが最善の防御になり得ます。
Endpoint Privilege Management(EPM)は、管理者権限を剥奪し、その状況に添ったアプリケーション保護によって、サイバーセキュリティの衛生管理を改善し、ユーザや企業が単純な過ち(クリックベイト、悪意のリンクなど)を犯さないよう保護するのに役立ちます。ここをクリックすると、開始に当たっての詳細な情報が得られます。
Morey J. Haber、BeyondTrust社 最高情報セキュリティ責任者
Morey J. Haberは、BeyondTrustの最高情報セキュリティ責任者です。IT業界での経験は25年以上に及び、Apress社から『Privileged Attack Vectors (2版)、『 Asset Attack Vectors』、『Identity Attack Vectors』という本を3冊【原文は「4冊」とありますが、見つかった限りでは3冊でした】出版しています。2018年、BeyondTrustはBomgarに買収されましたが名前はそのまま残りました。彼はもともと2012年、eEye Digital Securityの買収の際にBeyondTrustに加わりました。現在は特権アクセス管理やリモートアクセスソリューションに関するBeyondTrustの戦略を統括しています。2004年、セキュリティエンジニアリングの統括長としてeEyeに加わり、フォーチュン500掲載企業である顧客の戦略的業務に関する協議や脆弱性管理アーキテクチャを担当しました。eEye入社前は、Computer Associates, Inc. (CA)の開発マネージャーとして、新製品のベータサイクルや指定されたカスタマーアカウントなどの業務を担っていました。またその経歴は、飛行訓練シミュレータを構築する政府の委託先における信頼性と保全性に関するエンジニアとして築かれました。ストーニーブルックにあるニューヨーク州立大学の電子エンジニアリング科で理学士の学位を取得しています。