サイバーセキュリティ企業のEgressが実施した調査で2023年に94%もの組織がフィッシング攻撃を受けたことが明らかになったことを、Infosecurity Magazineが報じています。また、91%の企業が自社のデータを損失し、データを漏洩しています。データ損失や漏洩の主な3つの原因は、危険な行為、人的なミス、悪意のある外部への送信でした。
Egress社は、今回の調査結果について以下のように説明しています。「データ損失や漏洩インシデントの影響は多岐にわたります。顧客の損失、企業の評判の低下、訴訟などのリスクがありますが、さらに深刻なケースでは、事業を完全に停止せざるを得なくなる場合もあります。実際、当社の調査によると、58%の企業においてメールが起点となって社内に侵入され、業務を一旦止めなければならない事態に追い込まれています。昨年と比較すると今年はさらに多くの企業が、データの損失や漏洩によるセキュリティインシデントの悪影響を受けています。調査対象となった企業の94%が悪影響を受けたと報告していますが、これは昨年の報告から8%増加しています。」
Egress社の研究者は、アカウントが乗っ取られる原因の79%がフィッシング攻撃であることを特定しています。同社の研究者は、以下のように述べています。「フィッシングは、クレデンシャルハーベスティング(認証情報を大量に窃取する攻撃)とアカウント乗っ取りの最も一般的な手法です。このようなフィッシングメールには、当社が昨年取り上げたNetflixになりすましたキャンペーンのように、クレデンシャルハーベスティングサイトへのリンクが含まれていることが多くあります。アカウントの乗っ取りは、サイバーセキュリティ部門の責任者にとって最大のストレス要因の1つです。サイバー攻撃者がある従業員のアカウントを乗っ取ることができれば、そのアカウントを使用してラテラルムーブメントを行ったり、他のサイバー犯罪者に認証情報を販売したり、フィッシングメールを送信したりできるようになります。この場合、脅威となるメールは信頼できるドメインから発信されているため、従来のセキュリティ対策では検出も困難になります。」
Egress社の脅威インテリジェンス担当バイスプレジデントであるJack Chapman氏は、次のように述べています。「高度なフィッシング攻撃、人的ミス、データ流出に関して、企業は脆弱なままです。新たなトレンドを分析して対策を講ずることが、防御を強化する鍵となります。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
詳細については、 Infosecurity Magazineのニュースを参照してください。
原典:Stu Sjouwerman著 2024年1月18日発信 https://blog.knowbe4.com/ninety-four-percent-of-organizations-sustained-phishing-attacks-last-year
