2022年度版業界別フィッシングベンチマークレポート:  セキュリティ教育を受けていない約3人に1人がフィッシングリンクをクリックしてしまう



組織規模別の分析結果によると、ソーシャルエンジニアリングのリスクが最も高いのは、大規模組織では電気・水道・ガスなどの公共インフラ、保険、コンサルティングで、中堅・中小規模組織では医療機関・製薬業界が上位を占めている

東京(2022年7月20日発)- セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEOStu Sjouwerman (ストゥ・シャワーマン))は、2022年度版の業界別フィッシングベンチマーキング調査レポートをリリースしたことを発表しました。PPP (Phishing ProneTM Percentage:フィッシング詐偽ヒット率)は従業員ひとり1人がどれくらい攻撃被害を受けやすいかを測定可能な指標として可視化するもので、本レポートはPPPを業界別のベンチマーキングとして統計分析したものです。Cover-Image-Phishing-Industry-Benchmarking-Report

2021年のランサムウェア攻撃の1件あたりの被害額は平均で58万ドル、なんと日本円に換算すると約7千万円に達しています。また、2020年のビジネスメール詐欺(BEC)の被害額は18億ドルを超えています。このように、サイバー攻撃は世界の組織に大きな打撃を与えます。サイバー攻撃脅威の実態動向を「IBM Security X-Force Threat Intelligence Index 2022IBM X-Force 脅威インテリジェンス・ インデックス 2022)」から見てみると、攻撃の26%はアジアを標的とし、アジア太平洋は2021年に最も攻撃された地域でした。アジア太平洋で最も攻撃された国は日本、オーストラリア、インドの3カ国した。 また、米Verizon社の(Verizon 2022 Data Breach Investigations Report2022年度版Verizonデータ侵害調査報告)」は、今年のデータ侵害の82%は人的要素が関与し、アジア太平洋で発生したサイバー攻撃を見れば、70%にソーシャルエンジニアリング攻撃が含まれていると報じています。

 今回のレポートでは、KnowBe419の異なる業種における2,340万回以上の模擬フィッシング訓練/フィッシング攻撃テストの結果を集計し、30,173の組織における950万人以上のユーザーのデータセットを分析しています。KnowBe4では、従業員一人ひとりがどれくらい攻撃被害を受けやすいかを測定可能な指標「PPPPhishing PronePercentage:フィッシング詐偽ヒット率)」を集計しています。これによって、どれくらいの従業員が誤って摸擬フィッシングメールのリンクをクリックした、または感染した添付ファイルを開いたかを可視化しています。 2_2022 Benchmarking Reports調査概要図

 2021年を通して、世界中でフィッシング攻撃が前年比で大幅に増加し続けました。この中、2022年度版業界別フィッシングベンチマーキングレポートで明らかになったことは、セキュリティ教育を受けていない従業員の約3人に1人がフィッシングリンクをクリックしてしまうという実態です。

 本ベンチマーキング調査では、ベースラインベンチマーキングにおいて、KnowBe4のトレーニング開始前に、これまでにセキュリティ意識向上トレーニングを実施したことがない企業や組織に対して現状把握を行っています。このベースラインベンチマーキング集計結果によると、トレーニング前の全業種および全組織規模の平均PPP32.4%で、従業員の約3人に1人がフィッシング攻撃の罠に嵌る可能性があると指摘しています。この数値は、セキュリティトレーニングを実施しない場合、規模や業種に関係なく、すべての企業や組織がフィッシング攻撃やソーシャルエンジニアリング攻撃に対して、昨年同様に、極めて脆弱であることを警告しています。また、個別の全世界平均値を見ると、大規模組織は改善されているが、その一方で、ベースラインのPPP50%を超える業種(電気・水道・ガスなどの公共インフラ、保険、コンサルティング)があります。

ベースラインベンチマーキング後に継続的なトレーニングと模擬フィッシング訓練/フィッシング攻撃テストを組み合わせて実施した場合、驚くべき改善が見られました。90日間のKnowBe4のトレーニングとフィッシング演習の結果、全世界の平均PPPスコアは、32.4%%から17.6%へとほぼ半減しています。その後、1年間にわたりフィッシングテストと継続的なトレーニングを実施することで、このPPPスコアは大幅に改善され、5%までに減少しています。これは、KnowBe4のトレーニングとフィッシング演習が新しい行動習慣を常態化し、より強固なセキュリティカルチャーを醸成していることを示す注目すべき成果です。3_2022 Benchmarling Report サマリー図

 4_2022 Benchmarking Report 調査結果図

次に、日本を含むアジア太平洋地域の集計結果を見ると、全世界平均よりもわずかに高いリスクが示され、アジア太平洋での全業種/全組織規模での平均では、全世界平均の32.4%よりも2.1ポイント高い、34.5%でした。セキュリティ教育を受けていない従業員が不審なリンクをクリックしたり、不正な要求に応じたりするサイバー攻撃の脅威が、アジア太平洋は全世界平均よりも高いことが示されています。特に、アジア太平洋の大規模組織(従業員数1000人以上)では、このPPPスコアは36.7%となり、世界平均(35.2%)より1.5ポイント高い分析結果を示しています。5_2022 Benchmarking Report APAC概要図

 アジア太平洋のトレーニング90日後のPPPスコアを見てみると、小規模組織および中規模組織では、それぞれ、21.1%および19.2% と改善されていますが、全世界平均(17.6%)と比べると、改善幅は小さくなっています。次に、トレーニング開始1年後のPPPスコアを見てみると、小規模組織では全世界平均の5%を上回り、4.4%に大幅に改善されているものの、中規模組織および大規模組織では全世界平均の改善幅を下回り、それぞれ6.2%および5.2%となっています。全組織規模平均では、5.4%と、全世界平均の5%よりも微妙に改善幅が少ないものの、アジア太平洋地域でも大幅な改善が見られています。 

KnowBe4CEOであるStu Sjouwerman(ストゥ・シャワーマン)は、本ベンチマーキング調査結果について、次のようにコメントしています。
「今回の業界別の調査結果を見ると、人命や人の生活に大きな影響を持つ業界である電気・水道・ガスなどの公共インフラや医療機関や金融機関がサイバー攻撃のリスクに最も晒されている業界として挙げています。サイバー攻撃の被害が甚大であることを考えると、このことは深く憂慮されます。情報漏えいの多くがソーシャルエンジニアリングに起因していることを考えると、人的要素の防御を排除することはできません。摸擬フィッシング演習を含む継続的なセキュリティ意識向上トレーニングを実施することは、サイバー攻撃から組織を守り、より安全な組織を築くことにつながります。」

 本レポートから注視すべきことは、ソーシャルエンジニアリング攻撃に対抗するためには、テクノロジーが重要な役割を果たすことを疑う余地はないが、サイバー攻撃の人的要因を無視することができないという事実です。

 詳細につきましては、KnowBe4の業界別フィッシングベンチマーキング調査レポート(英語版)を下記のリンクからダウンロードしてください。
https://info.knowbe4.com/phishing-by-industry-benchmarking-report-uki

なお、日本語版は現在作成中です。日本語版業界別フィッシングベンチマーキング調査レポートをご入り用な方は、KnowBe4 Japan合同会社までメール(info@knowbe4.jp)または 直接 03-4588-6733 まで電話にてご連絡ください。

 KnowBe4について>
KnowBe4 (NASDAQ:KNBE) は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 8 に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHOChief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。20225月現在、5万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。

Topics: 2022年度版KnowBe4業界別フィッシングベンチマーキングレポート

Get the latest about social engineering

Subscribe to CyberheistNews