米国のITコンサルティング会社であるIRONSCALESとOsterman Researchの研究者が公開した新しい報告書によると、多くの企業や組織が、フィッシング攻撃に対する自社の能力に関して誤った安心感を持っているようです。
これらの研究者は、企業の誤った認識について次のように述べています。
「さまざまな業界や地域の300人のITおよびセキュリティ専門家を対象に調査したところ、危険なパラドックスが明らかになりました。回答者の70%以上が、現在のセキュリティ技術はメール本文の画像化攻撃やQRコードフィッシング攻撃に対して非常に効果的であると考えている一方で、76%が過去1年以内にこれらの攻撃に侵害されており、防御の有効性についての認識と実際の防御力には明らかなギャップがあることが浮き彫りになりました。」
報告書によると、あらゆるフィッシング攻撃を、従業員の受信ボックスに配信される前に阻止できた企業や組織はほとんどありませんでしたが、トレーニングを受けた従業員はこうした攻撃を回避できていたことがわかりました。
研究者は、次のように述べています。
「この調査で、すべての新たなタイプのフィッシング攻撃を、従業員の受信ボックスにフィッシング攻撃が配信される前に検出および阻止できたと報告している企業や組織は、わずか5.5%でした。さらに、18.8%の企業や組織においては、メールセキュリティスタックではフィッシング攻撃を検出できず、従業員の受信ボックスに送信されていましたが、従業員がこれらの脅威を認識して攻撃を防いでいました。これらの企業や組織では、サイバーセキュリティ意識向上トレーニングにより、心当たりのない悪意のあるメールに対して十分に警戒できており、フィッシング攻撃を阻止できたと考えられます。」
この報告書では、従業員は先進的なソーシャルエンジニアリングの手口を特定できるようにしなければならないと結論付けています。
この報告書は、次のようにまとめています。
「企業や組織は、模擬フィッシングプログラムを継続的に更新し、最新のフィッシング手法を取り入れて、技術的な防御策では検出・防御できなかった場合に、従業員は実践的で最新の対策を理解し、自らが判断して対応しなければなりません。一部のメールセキュリティベンダーは、生成AIを活用して各個人に最適化された模擬フィッシングテストを作成しています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、IRONSCALESの記事を参照してください。
原典:Stu Sjouwerman著 2024年3月14日発信 https://blog.knowbe4.com/organizations-vulnerable-to-image-based-qr-code-phishing
