最新フィッシングメール動向: 人事部門からのメールが引き続き大半を占める
セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4は、模擬フィッシング攻撃を通してどれくらい攻撃被害を受けやすいかをPPP(Phishing Prone Percentage:フィッシング詐偽ヒット率)としてアセスメントしており、この統計データを最新フィッシングメール動向として四半期毎に公表している。本プレスリリースでは、2023年第3四半期(2020年7月-9月期)の「要注意件名」統計レポートの注目ポイントを公開。このレポートでは、フィッシングテストでクリックされた上位のメール件名を統計分析している。人事部門が発信する通達やお知らせは従業員の注意を惹き易く、日々の業務に影響することから、リンクのクリックや添付の開封を引き起こす可能性が高いことが反映されていると思われる。
フィッシングメールは、これまでと変わりなく、世界中の組織を効果的に攻撃するために最も広く悪用されている手法の1つ。KnowBe4の2023年度版業界別フィッシングベンチマーキング調査レポートによると、ほぼ3人に1人のユーザーが不審なリンクをクリックしたり、詐欺的な要求に応じたりする可能性があることが明らかにしている。サイバー犯罪者は常に革新的であり続け、最新のトレンドに対応するために戦略を洗練させ、巧みにエンドユーザーの注意を引くために戦術を変え、エンドユーザーの心の隙を狙ってきている。実際に、サイバー犯罪者はフィッシングメールの件名をタイムリーに変更する一方で、緊急性をあおったり、心理的な動揺や恐怖感を与えることで、従業員の心の隙を突いてきている。
この2四半期からの継続的な傾向として、服装規定の変更、研修の通知、休暇の最新情報など、人事部門からのメールを装うフィッシングの手口は継続している。業務関連のフィッシングメールを受け取った場合、メールの正当性を論理的にじっくりと考える前に、直感的に反応してしまう傾向がある。業務関連のフィッシングメールは、メールの正当性を疑う前に、迅速に行動しなければならないという従業員の心理の隙を突いて、誘導してくる。
ホリデーシーズンのフィッシングメールは、今期も多く使われている。ホリデーフィッシングメール件名の上位5つのうち4つが人事部門からの通達やお知らせである。今期は、ハロウィンや秋の祝祭日などや祝祭日スケジュール変更に言及したテーマが含まれていた。このようなフィッシングメールは、企業や組織で働く従業員を騙すには、極めて有効。さらに、今期のレポートでも、IT通達やオンライン・サービスのお知らせ、税金関連のメール件名を利用する一貫した傾向が見られる。
KnowBe4のCEOであるストゥ・シャワーマンは、今期のレポートについて次のようにコメントしている。
「人事部門などの社内の関連部門からのメールであるかのように偽装する傾向が続いています。このようなメールは信頼できる送信元からのメールであるように見えるため、極めて危険です。このような悪意のあるメールは、従業員の信頼につけ込み、組織内に脆弱性を作り出します。これは、組織体制にも影響を及ぼす要因にもなりかねません。フィッシングメールや悪質なメールに対抗するためには、従業員に対する新しいスタイルのセキュリティ意識向上トレーニング(KnowBe4では“New School”と呼ぶ)と模擬フィッシング攻撃演習が不可欠です。教育を受けた従業員は、強力なヒューマンファイアウォールを形成し、安全なサイバー習慣を実践し、強固なセキュリティ文化を構築する鍵となります」。
2023年第3四半期の「要注意件名」統計レポートのポイントをまとめたPDFは下記よりダウンロードが可能である。
https://www.knowbe4.com/hubfs/JP_Q3_2023_KnowBe4_Phishing_Report_infographic.pdf
