最新フィッシングメール動向
従業員が最も引っかかりやすい件名は人事部門やIT部門からのメールを装う通達やお知らせ
セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4(本社:米国フロリダ州タンパベイ)は、模擬フィッシング攻撃を通してどれくらい攻撃被害を受けやすいかをPPP(Phishing Prone Percentage:フィッシング詐偽ヒット率)としてアセスメントしており、統計データを最新フィッシングメール動向として四半期毎に公表している。そして、2022年第2四半期(2022年4月-6月期)の「要注意件名」統計レポートの注目ポイントを公開した。今期にクリックされた件名の半数は、休暇取得規定改定、服装規定変更、業績評価などの人事部門からの通達やお知らせであった。その他の要注意件名としては、パスワード即時確認などのIT部門関連の通達やお知らせである。
フィッシングメールの脅威は、多くの人が認識するようになっている。最近では、例えば、注文していない高額の発注確認や思いもよらないような高額の賞金や賞品の決定通知など、様々な手口が生まれてきている。しかし、それが毎四半期に提出しなければならない人事部門からの業績評価報告依頼であったらどうだろうか。あるいは、添付ファイルが自分の名前が記載された戦略プランの草案だったらどうだろうか。
特に、業務関連のフィッシングメールは有効である。ここには、放置しておく日常業務に影響を与える可能性があるという「人」の心理がある。そのため、メールの正当性を論理的にじっくりと考える前に、直感的に反応してしまうのだ。業務関連のフィッシングメールは、このような従業員の心理の隙を突いて、誘導してくる。また、メールの送信元を偽装したドメインのなりすましや、容易に引っかかりやすいように微妙に変えたドメイン名を使ったり、本文中に社名やロゴ(時には従業員の名前も)などを記載したりする場合もある。多くは、メール内にフィッシングのためのハイパーリンクの埋め込みや悪意あるPDFの添付が仕込まれている。
KnowBe4のCEOであるStu Sjouwermanは、「要注意件名」統計レポートについて、次のようにコメントしている。
「世界で発生している情報漏えいの80%以上がヒューマンエラーに起因していることが明白な事実です。ソーシャルエンジニアリング攻撃を阻止するためには、従業員のセキュリティ意識向上のための新しいスタイルのセキュリティトレーニングを受講させることが、最もコストがかからない効果的な方法の1つです。このトレーニングを受けることで、たとえ社内からのメールであっても、「クリックする前に手を止めて、考える」習慣を身に付け、不審なメールを素早く見抜くようになります。従業員が手を止めてメールに疑問を抱く瞬間こそが、フィッシングメールを見極める基本です。このような習慣こそが、セキュリティカルチャーを醸成するための重要な要素で、サイバー攻撃の標的となるリスクを大幅に減らすことができるのです」。
2022年第2四半期の「要注意件名」統計レポートのポイントをまとめたPDF(英語版)は以下より確認いただきたい。https://www.knowbe4.com/hubfs/Quarterly%20Phishing/KnowBe4-Top-Clicked-Phishing-Subjects-Q2-2022.pdf
