フィッシング被害までわずか49秒... 2025年最新レポートが示す最大の防御は「人」

サイバーセキュリティの専門家たちは今、かつてないほど高度化するフィッシング攻撃に直面しています。これに対して、2025 KnowBe4 Phishing By Industry Benchmarking Report 2025（2025年版フィッシング業界別ベンチマークレポート）は、最も効果的な対策を「組織で最も大きな攻撃対象となる従業員を、最大のセキュリティ資産へと変えること」と示しています。

49秒で危機に陥る時代へ
Verizon Deta Breach Investigations Report（DBIR）によると、不審なリンクをクリックするまでの時間の中央値は、わずか21秒ということが判明しました。さらに、リンク先に認証情報などの入力を求められる場合、入力完了の時間を含めても、わずか49秒という結果でした。

つまり、フィッシングメールが開封された瞬間から、セキュリティ担当者が重大なインシデントを防ぐための時間は1分もありません。

さらに、この緊迫感に追い打ちをかけるのが、フィッシング攻撃の急増と高度化です。KnowBe4 Phishing Threat Trends Reportでは、全体フィッシングメールの量が17.3%増加し、セキュアゲートウェイ（SEG）やネイティブセキュリティをすり抜ける攻撃が47%増加したと報告されています。このような状況は、従来の対策では対応が追いついておらず、攻撃者は防御の隙を突かれていることを示します。

AI による攻撃の変化
AIが攻撃の質と量を劇的に変えています。KnowBe4 Threat Research Teamが分析したところ、フィッシングメールの82.6%が何らかの形でAIが使用されています。これらのメールは、従来より早く作成できる上、見破りにくくなっています。AIを活用することにより、メール内容の微調整や検知システムを避けることが可能になり、フィッシングメールは従来のメールセキュリティでは止められなくなる勢いで進化しています。

さらに、サプライチェーンにおけるビジネスメール詐欺（BEC）の増加や、DXが進んでいない組織が増えていることも、フィッシングリスクを拡大させています。しかし、対策のためには、引き続き「人の行動」を重視する必要があります。

トレーニング前のフィッシングクリック率は30%
KnowBe4が測定する Phish-prone Percentage（以下、PPP：フィッシングに引っかかる可能性のあるユーザーの割合）によると、トレーニングを実施していない組織の平均PPPは33.1%です。つまり3人に1人が危険なリンクをクリックするという計算となります。

特に数値が悪かったのは、医療・製薬（41.9%）、保険（39.2%）、小売・卸売（36.5%）などの業界です。逆に、比較的低かったのは政府機関（28.2%）、法務（28.5%）、運輸（29.9%）などですが、それでも3人に1人に迫る水準となります。

組織が大きいほどリスクも大きい
企業の規模もフィッシングリスク率に大きく影響します。従業員が多ければメールアドレスも増え、セキュリティ意識を全体で統一することが難しくなります。実際、従業員数1万人超の企業の平均PPPが40.5%と最も高い結果となりました。

企業規模別のPPPは以下の通りです：

• 10,000人以上：40.5%
• 1,000～9,999人：33.7%
• 250～999人：28.7%
• 1～249人：24.6%

データを見ると、どの組織もかなり危ない状況にあることがわかります。しかし、的確なセキュリティ意識向上トレーニング（SAT）を実施すれば、リスクは確実に減少すること判明しています。

トレーニングでPPPが85%以上改善
ベストプラクティスに基づいたトレーニングを90日間行った結果、グローバルPPPは40%以上下がり、平均19.8%まで減少しました。さらに、1年間継続すればその効果はさらに大きく、平均PPPは4.1%にまで下がりました。2年目には3.7%、3年目には3.6%と、継続するほど成果は積み重なります。

この効果は特定の業界だけの話ではありません。すべての業界で、着実かつ持続的な改善が見られました。

Enterprise（1万人以上）
Enterprise企業は全体的に危険水準ですが、特にPPPが高いのは、医療・製薬と保険セクターで、当初は半数以上のユーザーがフィッシングをクリックしていました。

しかし、トレーニング後、上記を含む、全てのセクターが最も大きな成果を挙げました。特に大きな改善が見られたホスピタリティセクターは、当初の数字とくらべると93%改善され、PPPがわずか2.4%まで減りました。リスクの高かった医療・製薬セクターでも90%の改善を実現ています。また、全てのEnterpriseの組織で平均86.8%の改善を記録しました。

Large（1,000～9,999人）
この規模では、医療、銀行、金融、エネルギーセクターが最もPPPが高い業界となっていました。

ただし、1年間のトレーニング後、Enterpriseと同様、全ての組織で平均87%減少ています。法律セクターはPPP3.1%と最も低い数字を記録し、医療、ホスピタリティ、法律セクターがそれぞれ最も大きい91%の改善を達成しました。

Mid-sized（250～999人）
Mid-sized企業の平均PPPは28.7%でした。非営利団体、保険、建設セクターなどが30%を超えていましたが、平均で85.6%のリスク低減を達成しました。銀行セクターはPPPを91.8%減少し、最終的にはわずか2.5%まで下がりました。

Small（1～249人）
この規模の組織は元から最もPPPが低く24.6%でしたが、それでも4人に1人はクリックしてしまうリスクがあります。業界別では非営利、医療、教育セクターなどが高リスクでした。

元の数値が大規模などと比べると低くくとも、トレーニングの効果は明らかで、銀行セクターはPPPを90%削減し、2%まで下げました。運輸、建設、教育セクターなども平均で87%の改善を記録しました。

結論：「人」が最後の防御となる
今やフィッシングメールは、従来の検知システムをすり抜け、開封から数秒で被害に至るように設計されています。このような状況では、従業員の行動がいままで以上に重要になります。KnowBe4 Phishing Reportが示すのは、従来の対策では不十分であるという現実です。AIを駆使した攻撃が増える中、必要なのは「人」を中心とした新たなセキュリティ戦略です。

その鍵を握るのが、継続的かつ戦略的なセキュリティ意識向上トレーニングです。業種や規模に関係なく、1年以内に85%以上のリスク低減がトレーニングにより可能であり、その効果は年を追うごとに積み重なっていきます。

さらに、人を中心としたヒューマンリスクマネジメントの一環として、このようなトレーニングを最新の脅威の情報や行動分析を活用したEメールセキュリティと連携させることで、リアルタイムでの脅威検出と同時に従業員へのコーチングが可能となり、より安全な業務環境が実現します。

セキュリティ文化を築くためには、フィッシング対策を一時的な取り組みではなく、ご自身の組織への長期的な投資と捉えるべきです。その結果、数字の改善にとどまらず、インシデントの削減、組織全体の防御力向上、そして何より社内の安心をもたらします。

19業界・7地域にわたる詳細な分析は、こちらのレポートをご覧ください。また、日本語版のアジア地域のレポートはこちらをご覧ください。