メルマガはこちらから

PAGE
TOP

最新フィッシングメール動向: 従業員が最も引っかかりやすい件名は人事部門やIT部門からのメールを装う通達やお知らせ

PR TIMES

ノウ・ビフォー

東京(2022年7月29日発)- セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、模擬フィッシング攻撃を通してどれくらい攻撃被害を受けやすいかをPPP(Phishing Prone Percentage:フィッシング詐偽ヒット率)としてアセスメントしています。この統計データを最新フィッシングメール動向として四半期毎に公表しています。本プレスリリースでは、2022年第2四半期(2022年4月-6月期)の「要注意件名」統計レポートの注目ポイントを公開します。今期にクリックされた件名の半数は、休暇取得規定改定、服装規定変更、業績評価などの人事部門からの通達やお知らせでした。その他の要注意件名としては、パスワード即時確認などのIT部門関連の通達やお知らせでした。


フィッシングメールの脅威は、多くの人が認識するようになっています。最近では、例えば、注文していない高額の発注確認や思いもよらないような高額の賞金や賞品の決定通知など、様々な手口が生まれてきています。しかし、それが毎四半期に提出しなければならない人事部門からの業績評価報告依頼であったらどうでしょうか。あるいは、添付ファイルが自分の名前が記載された戦略プランの草案だったらどうでしょうか。

特に、業務関連のフィッシングメールは有効です。ここには、放置しておく日常業務に影響を与える可能性があるという「人」の心理があります。そのため、メールの正当性を論理的にじっくりと考える前に、直感的に反応してしまうのです。業務関連のフィッシングメールは、このような従業員の心理の隙を突いて、誘導してきます。また、メールの送信元を偽装したドメインのなりすましや、容易に引っかかりやすいように微妙に変えたドメイン名を使ったり、本文中に社名やロゴ(時には従業員の名前も)などを記載したりする場合もあります。多くは、メール内にフィッシングのためのハイパーリンクの埋め込みや悪意あるPDFの添付が仕込まれています。

KnowBe4のCEOであるStu Sjouwermanは、「要注意件名」統計レポートについて、次のようにコメントしています。
「世界で発生している情報漏えいの80%以上がヒューマンエラーに起因していることが明白な事実です。ソーシャルエンジニアリング攻撃を阻止するためには、従業員のセキュリティ意識向上のための新しいスタイルのセキュリティトレーニングを受講させることが、最もコストがかからない効果的な方法の1つです。このトレーニングを受けることで、たとえ社内からのメールであっても、「クリックする前に手を止めて、考える」習慣を身に付け、不審なメールを素早く見抜くようになります。従業員が手を止めてメールに疑問を抱く瞬間こそが、フィッシングメールを見極める基本です。このような習慣こそが、セキュリティカルチャーを醸成するための重要な要素で、サイバー攻撃の標的となるリスクを大幅に減らすことができるのです。」

2022年第2四半期の「要注意件名」統計レポートのポイントをまとめたPDF(英語版)を希望する方は、 次のURLをクリックしてください。
https://www.knowbe4.com/hubfs/Quarterly%20Phishing/KnowBe4-Top-Clicked-Phishing-Subjects-Q2-2022.pdf



KnowBe4について>
KnowBe4 (NASDAQ:KNBE) は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 月に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年5月現在、5万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。