業務関連のフィッシングメールが増加傾向
2022年第3四半期(2022年7月-9月期)の「要注意件名」統計レポートの注目ポイントを公開
東京(2022年10月25日発)– セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4社は、模擬フィッシング攻撃を通してどれくらい攻撃被害を受けやすいかをPPP(Phishing Prone Percentage:フィッシング詐欺ヒット率)として継続的にアセスメントしている。この統計データを最新フィッシングメール動向として、四半期毎に公表している。本プレスリリースでは、2022年第3四半期(2022年7月-9月期)の「要注意件名」統計レポートの注目ポイントを公開。同レポートは、KnowBe4のフィッシング演習でクリックされた上位のメールの件名を分類して公開しているが、今期の傾向としては、人事部門、IT部門および管理職からの業務要請や最新情報の伝達など、ビジネス関連のメールが増加している。
フィッシングメールは、定常化しており、世界中の企業や組織を悩ませている。クラウドベースの電子メール向けセキュリティを提供する Avananの最新調査レポート によると、約19%のフィッシングメールがマルウェア対策アプリのMicrosoft Defenderをすり抜けていることが明らかにしている。これは、悪意のあるメールに対する防御方法として、メールフィルターなどのテクノロジーに頼ることができないことを明確に示している。
業務関連のフィッシングメールは、極めて有効であり、高い成功率を収めている。その背景には、勤務時間・勤務制度や内部規定など、放置しておく日常業務に影響を与える可能性があるという「人」の心理がある。今期のフィッシング演習の集計結果では、メールの件名の40%が人事関連のものであることが明らかになっている。業務関連のフィッシングメールを受け取った場合、メールの正当性を論理的にじっくりと考える前に、直感的に反応してしまう傾向がある。業務関連のフィッシングメールは、メールの正当性を疑う前に、迅速に行動しなければならないという従業員の心理の隙を突いて、誘導してきくる。また、今期のフィッシング演習では、最も利用されている攻撃手法はメール本文に埋め込まれたフィッシングリンク。攻撃手法は、巧みに組み合わされて使用される。これらの複合的な攻撃手法は、ランサムウェアやビジネスメール詐欺(BEC)など、破壊的な結果をもたらす様々なサイバー攻撃につながる可能性を秘めている。
今期のフィッシング演習の集計では、ビジネス関連のフィッシングメールが増加傾向にあると同時に、一方でソーシャルメディアからのメールなど、個人的な業務外のフィッシングメールも少なくなってきた。実際、第3四半期のフィッシングレポートは、今年初めて、メールの件名の上位にSNSやソーシャルメディアサイトのフィッシングメールがランキングしなかった。
KnowBe4のCEOであるStu Sjouwermanは、今期のフィッシングレポートについて次のようにコメントしている。
「フィッシングメールが進化し、より巧妙になるにつれ、企業はこれまで以上に、全従業員に対するセキュリティ意識向上トレーニング:を優先させることが不可欠となっています。特に、社内連絡を装った業務関連のフィッシングメールは、巧みに従業員の注意を引き、行動を引き起こします。この手口は極めて巧妙になってきているため、注意が必要です。新しいスタイルのセキュリティ意識向上トレーニングを全従業員に実施することは、フィッシングや悪意のあるメールに対抗するために有効です。まずは疑ってみるというフィッシング対策の基本を植え付け、より強固なセキュリティカルチャーを構築することを支援してくれます」。
2022年第3四半期の「要注意件名」統計レポートのポイントをまとめたPDF(英語版)を希望する方は、こちらから