フィッシングメールの危険信号は「急かし」？

フィッシングメールを見抜くための常識は、いま変わりつつあります。以前は、違和感のある文法や誤字脱字さえチェックすれば、比較的容易に攻撃を特定できていました。ところがAIの登場によって、攻撃者が送るメールは完成度の高い文章になり、見抜くのが難しくなっています。そうした中、KnowBe4の最新調査で明らかになったのは、今の従業員が不正メールを見抜くうえで最も警戒しているのは不自然な「緊急性」だということです。

「今すぐ対応してください」が新たな危険信号

調査では、フィッシングメールを見抜く決定的な手がかりとして、回答者の34%が「緊急性を煽り、即時の行動を促す内容」を挙げています。これは、これまで典型的な危険信号とされてきた以下の項目を上回る結果となりました。

• 送信元アドレスが不明（23%）
• 機密情報の提供を求めてくる（23%）
• スペルや文法が不自然（20%）

AIの影響で、攻撃者は全ての言語で完成度の高いメールを作れるようになりました。そのため、以前のように文章の粗さだけで不正を見抜くのは難しいです。しかし、AIを使っても変わらないのは、攻撃者は切迫感を生み出し、相手に急いで行動を取らせようとする点です。今回の調査からは、メールが過剰に即時対応を求めてくる場合は、まず疑うべきものだという認識が広がっていることがわかります。

社内にもあるリスク

注意すべきなのは、外部からの攻撃だけではありません。従業員自身もちょっとしたヒューマンエラーが大きな問題につながることを懸念しています。

仕事のメールを送るときに最も不安を感じることとして、44%が「宛先を間違えて送ってしまうこと」を挙げました。これは、標的型フィッシング攻撃への不安（20%）を上回っています。さらに19%は、メールに機密情報を誤って含めてしまうことを懸念しています。

ミスを防ぐには

こうしたメールへの不安は、すでに日々の働き方にも影響を与えています。業務上のミスを防ぐため、52%の従業員が毎回必ず宛先と添付ファイルを確認していると回答しました。一方で、より重要ともいえる「機密情報が含まれていないか」の確認を毎回行っている人は、12%にとどまっています。

人の直感だけに頼るのではなく、それを支えるデジタルの安全網が必要です。

リアルタイムのセキュリティコーチングと自動化された保護機能を組み合わせることで、従業員は攻撃メールに落ち着いて対処しやすくなります。さらに、機密情報を誤った相手に送ってしまうといったインシデントにも、より適切に対応できるようになります。目指すべきなのは、不審なメールの流入を防ぐことだけではなく、組織内のミスによる情報流出も防ぐことです。

明るい材料もあります。疑わしいメールをそのまま放置する従業員は、いまではわずか6%にまで減っており、セキュリティ意識は確実に高まっています。主体的に行動しようとする土台は、すでにできています。あとは、一人ひとりの負担を減らすテクノロジーでそれを支えることが重要です。