最新フィッシング動向を発表 – QRコードフィッシング、引き続き、増加中
024年度第3四半期に最も多くクリックされた要注意のメール件名は、前四半期と同様に、人事またはIT関連の業務メールの件名。クリックされた上位件名のほぼ半数を占める。
KnowBe4は、2024年度第3四半期(2024年7月~9月)フィッシングレポートを公開して、最新のフィッシング動向を発表した。本レポートでは、フィッシングテストで最も多くクリックされたメールの件名を分析しているが、第3四半期の結果では人事およびIT関連のフィッシングが引き続き多くの従業員の関心を惹きやすいことが明らかにされている。
また、人事およびIT関連のフィッシングメールは、世界で最もクリックされた上位件名の48.6%を占めている。サイバー攻撃者の手口が進化し続けているが、フィッシングメールはサイバー攻撃を実行する最も有効なツールの1つであることは変わりない。
KnowBe4の2024年度版業界別フィッシングベンチマーキング調査レポートは、ほぼ3人に1人のユーザーが不審なリンクをクリックしたり、詐欺的な要求に応じたりする可能性があることとフィッシング攻撃の最大の脅威であると警告している。サイバー攻撃者は、この「人の脆弱性」を悪用し続けている。そして、最新の動向に合わせて、相手を信頼させるフィッシングメールの件名を工夫し、切迫感、混乱、不安、あるいは興奮といった人の感情を揺さぶり、受信者を悪意のあるリンクのクリックや有害な添付ファイルの開封などの行動へと誘導している。
本レポートでは、メールに埋め込まれたフィッシングリンクがもたらす継続的な脅威にスポットを当て、このような悪意のあるリンクやPDFの添付ファイル、なりすましドメインは、アクセスされると、ランサムウェア攻撃やビジネスメール詐欺など、多くの場合、深刻なサイバー被害につながると指摘している。また、QRコードを利用したフィッシングキャンペーンが急増していることも報告されている。よく使われるQRコードフィッシングの件名には、人事部からの業務規程の確認、緊急書類への署名を促すDocuSignメール、Zoomミーティングの招待などがある。これらのメッセージは、人事部、同僚、外部取引先からの連絡を装っていることが多く、サイバー攻撃者達にとって容易に複製することができるため、大きなリスクをもたらす。
KnowBe4のCEOであるストゥ・シャワーマン氏は、2024年第3四半期の最新フィッシング動向について次のようにコメントしている。
「2024年第3四半期のレポートは、フィッシングの手口がますます巧妙化していることを裏付けており、従業員が社内コミュニケーションへの信頼をサイバー犯罪者が悪用するケースが増えています。人事やIT関連のフィッシング攻撃の増加と、QRコードの統合などの新たな手法の登場により、複雑な脅威の現状が生み出されています。これらの手口は、信頼されている情報源の正当性が悪用されているので疑われにくく、行動を急かしてくるので詳細な確認を回避します。この急速に変化し続ける環境においては、十分に訓練された従業員のセキュリティ意識と強固なセキュリティ文化は有効なものというより必須なものと言えます。ヒューマンリスク管理を優先することで、回避可能なサイバー脅威に対して強固な防御を効果的に構築することができます。」
2024年第3四半期の「要注意件名」統計レポートのポイントをまとめたPDFを希望する方は、 こちらをクリック。