サイバーセキュリティの専門家たちは今、かつてないほど高度化するフィッシング攻撃に直面しています。これに対して、2025 KnowBe4 Phishing By Industry Benchmarking Report 2025(2025年版フィッシング業界別ベンチマークレポート)は、最も効果的な対策を「組織で最も大きな攻撃対象となる従業員を、最大のセキュリティ資産へと変えること」と示しています。
49秒で危機に陥る時代へ
Verizon Deta Breach Investigations Report(DBIR)によると、不審なリンクをクリックするまでの時間の中央値は、わずか21秒ということが判明しました。さらに、リンク先に認証情報などの入力を求められる場合、入力完了の時間を含めても、わずか49秒という結果でした。
つまり、フィッシングメールが開封された瞬間から、セキュリティ担当者が重大なインシデントを防ぐための時間は1分もありません。
さらに、この緊迫感に追い打ちをかけるのが、フィッシング攻撃の急増と高度化です。KnowBe4 Phishing Threat Trends Reportでは、全体フィッシングメールの量が17.3%増加し、セキュアゲートウェイ(SEG)やネイティブセキュリティをすり抜ける攻撃が47%増加したと報告されています。このような状況は、従来の対策では対応が追いついておらず、攻撃者は防御の隙を突かれていることを示します。
AI による攻撃の変化
AIが攻撃の質と量を劇的に変えています。KnowBe4 Threat Research Teamが分析したところ、フィッシングメールの82.6%が何らかの形でAIが使用されています。これらのメールは、従来より早く作成できる上、見破りにくくなっています。AIを活用することにより、メール内容の微調整や検知システムを避けることが可能になり、フィッシングメールは従来のメールセキュリティでは止められなくなる勢いで進化しています。
さらに、サプライチェーンにおけるビジネスメール詐欺(BEC)の増加や、DXが進んでいない組織が増えていることも、フィッシングリスクを拡大させています。しかし、対策のためには、引き続き「人の行動」を重視する必要があります。
トレーニング前のフィッシングクリック率は30%
KnowBe4が測定する Phish-prone Percentage(以下、PPP:フィッシングに引っかかる可能性のあるユーザーの割合)によると、トレーニングを実施していない組織の平均PPPは33.1%です。つまり3人に1人が危険なリンクをクリックするという計算となります。
特に数値が悪かったのは、医療・製薬(41.9%)、保険(39.2%)、小売・卸売(36.5%)などの業界です。逆に、比較的低かったのは政府機関(28.2%)、法務(28.5%)、運輸(29.9%)などですが、それでも3人に1人に迫る水準となります。
組織が大きいほどリスクも大きい
企業の規模もフィッシングリスク率に大きく影響します。従業員が多ければメールアドレスも増え、セキュリティ意識を全体で統一することが難しくなります。実際、従業員数1万人超の企業の平均PPPが40.5%と最も高い結果となりました。
企業規模別のPPPは以下の通りです:
データを見ると、どの組織もかなり危ない状況にあることがわかります。しかし、的確なセキュリティ意識向上トレーニング(SAT)を実施すれば、リスクは確実に減少すること判明しています。
トレーニングでPPPが85%以上改善
ベストプラクティスに基づいたトレーニングを90日間行った結果、グローバルPPPは40%以上下がり、平均19.8%まで減少しました。さらに、1年間継続すればその効果はさらに大きく、平均PPPは4.1%にまで下がりました。2年目には3.7%、3年目には3.6%と、継続するほど成果は積み重なります。
この効果は特定の業界だけの話ではありません。すべての業界で、着実かつ持続的な改善が見られました。
Enterprise(1万人以上)
Enterprise企業は全体的に危険水準ですが、特にPPPが高いのは、医療・製薬と保険セクターで、当初は半数以上のユーザーがフィッシングをクリックしていました。
しかし、トレーニング後、上記を含む、全てのセクターが最も大きな成果を挙げました。特に大きな改善が見られたホスピタリティセクターは、当初の数字とくらべると93%改善され、PPPがわずか2.4%まで減りました。リスクの高かった医療・製薬セクターでも90%の改善を実現ています。また、全てのEnterpriseの組織で平均86.8%の改善を記録しました。
Large(1,000~9,999人)
この規模では、医療、銀行、金融、エネルギーセクターが最もPPPが高い業界となっていました。
ただし、1年間のトレーニング後、Enterpriseと同様、全ての組織で平均87%減少ています。法律セクターはPPP3.1%と最も低い数字を記録し、医療、ホスピタリティ、法律セクターがそれぞれ最も大きい91%の改善を達成しました。
Mid-sized(250~999人)
Mid-sized企業の平均PPPは28.7%でした。非営利団体、保険、建設セクターなどが30%を超えていましたが、平均で85.6%のリスク低減を達成しました。銀行セクターはPPPを91.8%減少し、最終的にはわずか2.5%まで下がりました。
Small(1~249人)
この規模の組織は元から最もPPPが低く24.6%でしたが、それでも4人に1人はクリックしてしまうリスクがあります。業界別では非営利、医療、教育セクターなどが高リスクでした。
元の数値が大規模などと比べると低くくとも、トレーニングの効果は明らかで、銀行セクターはPPPを90%削減し、2%まで下げました。運輸、建設、教育セクターなども平均で87%の改善を記録しました。
結論:「人」が最後の防御となる
今やフィッシングメールは、従来の検知システムをすり抜け、開封から数秒で被害に至るように設計されています。このような状況では、従業員の行動がいままで以上に重要になります。KnowBe4 Phishing Reportが示すのは、従来の対策では不十分であるという現実です。AIを駆使した攻撃が増える中、必要なのは「人」を中心とした新たなセキュリティ戦略です。
その鍵を握るのが、継続的かつ戦略的なセキュリティ意識向上トレーニングです。業種や規模に関係なく、1年以内に85%以上のリスク低減がトレーニングにより可能であり、その効果は年を追うごとに積み重なっていきます。
さらに、人を中心としたヒューマンリスクマネジメントの一環として、このようなトレーニングを最新の脅威の情報や行動分析を活用したEメールセキュリティと連携させることで、リアルタイムでの脅威検出と同時に従業員へのコーチングが可能となり、より安全な業務環境が実現します。
セキュリティ文化を築くためには、フィッシング対策を一時的な取り組みではなく、ご自身の組織への長期的な投資と捉えるべきです。その結果、数字の改善にとどまらず、インシデントの削減、組織全体の防御力向上、そして何より社内の安心をもたらします。
19業界・7地域にわたる詳細な分析は、こちらのレポートをご覧ください。また、日本語版のアジア地域のレポートはこちらをご覧ください。
原典:KnowBe4 Team著 2025年5月13日発信 https://blog.knowbe4.com/the-clock-is-ticking-why-phishing-remains-the-fastest-moving-cyber-threat-in-2025