新しい調査:ランサムウェアのグローバルコスト調査。どのようなbreaches によってコストがかかっているかを確認してください。
レポートを入手

Breach を経験しましたか?

|
お問い合わせ
|
+1 855 426 3983
ブログ
/
サイバー・レジリエンス

元FBI最重要指名手配ハッカーから学んだ5つのこと

ラグー・ナンダクマラ
インダストリー・ソリューションズ・マーケティング担当シニア・ディレクター
May 13, 2025
23 最小読取り
A headshot of Brett Johnson
ブレット・ジョンソン、改革派FBI最重要指名手配サイバー犯罪者

サイバーセキュリティでは、「攻撃者のように考えろ」とよく言われます。しかし、その人生を生き、それを好転させた人から直接話を聞く機会を得る人はほとんどいません。

ザ・セグメントで最も忘れられないエピソードの1つで、かつて米国シークレットサービスによって「オリジナル・インターネット・ゴッドファーザー」と呼ばれていたブレット・ジョンソンに話を聞きました。

組織化された最初のサイバー犯罪コミュニティを構築し、FBIの最重要指名手配リストに載ったブレットは、人生を再構築し、現在では法執行機関やセキュリティリーダーの信頼できる代弁者としての役割を果たしています。

ブレットが改革された犯罪生活から語った5つの教訓の中で、私が最も心に残ったものを次に示します。

1。知覚は新しい現実

ブレットのメッセージの中心にあるのは、身も凍るような真実です。「真実が何であってもかまいません。私があなたに何を納得させることができるかが重要です。」

それは単なる犯罪戦術ではなく、社会的な懸念事項です。から フィッシングメール 政治的な誤報に対して、信頼は武器にされつつあります。そして、ディープフェイクの動画と音声が急速に進化するにつれて、本物と偽物の境界線は急速に消えつつあります。

「ディープフェイクがリアルタイムになるところまで来ています。「とブレットは警告しました。

彼は、攻撃者がZoomのビデオ会議でCEOをディープフェイクする攻撃の例を挙げました。Payrollは、CEOとリアルタイムで話していると思っていますが、実際にはだまされて別の銀行口座に送金されています。

「それはとても効果的だ」と彼は言った。「そして、それは魔法のように機能するでしょう。」

重要なのは、想定ではなく検証を行うシステムを構築することです。ゼロトラストはセキュリティフレームワークですが、デジタル詐欺の世界で信頼を取り戻す方法でもあります。

「ディープフェイクがリアルタイムになるところまで来ています。」

2。犯罪者は天才ではなく日和見主義者

ハリウッドはハッカーを素晴らしい無法者として描いています。ブレットは違った見方をしています。

「ほとんどの攻撃は現金ベースで日和見主義的です」と彼は説明しました。「犯罪投資から最大の利益を得られる、最も簡単なアクセスを探しています。」

だからベーシック サイバー衛生 まだ問題なのは、脆弱性へのパッチ適用、認証情報の保護、オープンポートの閉鎖です。これらの手順は派手ではありませんが、スキップされることがよくあります。

セキュリティは高価である必要はありません。しかし、一貫性がなければなりません。

3。信頼は思い込みではなく行動の上に成り立つ

攻撃者は、私たちがデバイスを信頼していることを知っています。彼らはその信頼を私たちに不利に利用します。

「私たちは本質的に携帯電話、ラップトップ、デスクトップを信頼しています」とブレット氏は言います。「私たちはアクセスするウェブサイトを信頼しており、それが信頼の扉を開く傾向があります。」

ブレットは、人々にも組織にも、デジタルシステムへの信頼を再定義するよう強く求めています。動作を検証し、コンテキストに注意を払い、正当性を示す単一のシグナルに依存しないシステムを設計します。

「世界中のすべての詐欺を阻止できます。あなたがしなければならないのはウェブをシャットダウンすることだけです」と彼は冗談を言った。「安全保障と摩擦のバランスを取りたいのだが、そのバランスは絶対に安全保障面にもっと重きを置かなければならない。」

4。攻撃者は協力します。ディフェンダーもそうしなければなりません。

彼の最も鋭い批評の一人は?「悪者はあなたたちよりも共有やコラボレーションが得意です」と彼は言います。

サイバー犯罪者は、ツール、戦術、ヒントを交換します。しかし、ディフェンダーは多くの場合、業界、競争、または官僚主義によってサイロ化されています。

「私が特定の業界にいて、自分の会社が特定の種類の攻撃に見舞われた場合、その情報を共有することで、同じ分野の他の企業も標的にされる前に身を守ることができます」と同氏は言います。

肝心なのは、脅威環境はサイロ化されていないため、防御もサイロ化すべきではないということです。

「私が特定の業界にいて、自分の会社が特定の種類の攻撃に見舞われた場合、その情報を共有することで、同じ分野の他の企業も標的にされる前に身を守ることができます。」

5。ゼロトラストは信頼を再構築する方法です

ブレットはそれを信じています AI 生成コンテンツディープフェイクのように、人々が何を信頼すべきかを知るのが難しくなっています。オンラインでは批判的に考え、懐疑的であり続けることが重要です。しかし、組織は信頼を再構築する方法を見つけなければなりません。

「顧客と組織との間の新たなエンゲージメントはすべて、次の企業からのものでなければなりません。 ゼロトラスト 立場」と彼は推薦する。

知覚がリアルタイムで偽造される世界では、信頼を前提とすることはできません。何度も何度も稼がなければなりません。

「詐欺の可能性を予測するためにバックグラウンドでできることはすべて行い、その時点で行動を起こしてください」とブレットはアドバイスしました。

ゼロトラストは単なる技術戦略ではありません。それは日常の習慣であり、考え方でもあります。そして、この進化する脅威環境では、備えをしておくことが最善の策です。

試聴、購読、レビュー ザ・セグメント

ブレット・ジョンソンについてもっと聞きたい?の全エピソードをキャッチ ザ・セグメント:ゼロトラスト・リーダーシップ・ポッドキャスト オン 弊社ウェブサイトアップル・ポッドキャストSpotify、またはどこで聴いても。

関連トピック

サイバー・レジリエンス

関連記事

ゼロトラストの運用 — ステップ 6: 検証、実装、監視
サイバー・レジリエンス

ゼロトラストの運用 — ステップ 6: 検証、実装、監視

組織のゼロトラストへの取り組みにおける重要なステップ、つまり検証、実装、監視について学びましょう。

もっと読む
2024年に向けてサイバーセキュリティリーダーが最優先すべきことは何ですか?
サイバー・レジリエンス

2024年に向けてサイバーセキュリティリーダーが最優先すべきことは何ですか?

新年を迎えるにあたり、サイバーセキュリティのビジネスリーダーや専門家が抱く主な懸念、傾向、優先事項について学びましょう。

もっと読む
EU コンプライアンス義務の理解:オペレーショナルテクノロジーとクリティカルシステム
サイバー・レジリエンス

EU コンプライアンス義務の理解:オペレーショナルテクノロジーとクリティカルシステム

A discussion of the operational technical regulations and security controls specific to Critical Systems and Operational Technology.

もっと読む
非営利団体がサイバーセキュリティ業界に教えていること
ゼロトラストセグメンテーション

非営利団体がサイバーセキュリティ業界に教えていること

非営利団体のサイバーセキュリティ専門家であるケリー・ミサタ博士が、ミッション主導型の組織が共感、目的、そして耳を傾けることを第一に考えてセキュリティに取り組んでいる方法について学びましょう。

もっと読む
サイバーセキュリティの「非難の文化」に対するサイバー心理学者の見解
ゼロトラストセグメンテーション

サイバーセキュリティの「非難の文化」に対するサイバー心理学者の見解

ストレス、AI の脅威、人間の行動によって、ゼロトラストがサイバーレジリエンスにどのように不可欠になっているのかを学びましょう。

もっと読む
CISOがAIについて尋ねるべき8つの質問
サイバー・レジリエンス

CISOがAIについて尋ねるべき8つの質問

CISOがAIについて尋ねなければならない重要な質問と、それがサイバーセキュリティに与える影響について学びましょう。

もっと読む

Assume Breach.
影響を最小限に抑えます。
レジリエンスを高めます。

ゼロトラストセグメンテーションについて詳しく知る準備はできていますか?

さらに詳しく