最新フィッシングメール動向: ITサービスやオンラインサービス関連のフィッシングメールが増加する傾向に

2023年第1四半期（2023年1月－3月期）の「要注意件名」統計レポートの注目ポイントを公開

今回の結果には、フィッシングテストで最も多くクリックされたメールの件名が含まれており、PCの初期化やアカウントの停止に関する通知など、エンドユーザーの通常の業務に影響するITサービスやオンラインサービスに関するフィッシングが増加していることを反映しています。 

フィッシングメールは、世界中の組織を効果的に攻撃するために最も広く悪用されている手法の1つです。サイバー犯罪者は、エンドユーザーや組織を出し抜くために、フィッシングメールの件名を信憑性の高いものに変更するなど、常に戦略を変えながら攻撃しています。人の感情を巧みに利用して心理的な隙間に入り込んで、不安や混乱を引き起こして、直感的にクリックさせようと誘導してきます。フィッシングの手口も変化しており、パスワード変更の要求、Zoomミーティングの招待、セキュリティ警告など、ITサービスやオンラインサービスに関連するテーマをメールの件名として使用するサイバー犯罪者が増加する傾向にあります。このようなテーマを悪用するフィッシングは、これに反応しないと、日常業務に支障をきたす、または業務継続が出来なくなると、感情的に誘導することから効果的となっています。  

今期は、ホリデーシーズンのフィッシングメールの件名として、スケジュールの変更、ギフトカードやエステ体験のプレゼントなどをテーマとする件名が、エンドユーザーを惹き付けるために利用されています。第1四半期は確定申告の時期であり、税金や納税に関するテーマがフィッシングメールで広く悪用されています。 

KnowBe4のCEOであるStu Sjouwermanは、今期のレポートについて次のようにコメントしています。
「サイバー犯罪者は、無防備な従業員を誘い、悪意のあるリンクをクリックさせ、正規のファイルのように偽装した添付ファイルをダウンロードさせて、組織に大きな損害を与えようとしています。特に、IT部門など社内から送信されたように偽装されたメールは、信頼できる身近な場所から送られているように見えることから、従業員が疑いを持たずにクリックすることが多く、非常に危険です。強固なセキュリティカルチャーを醸成し、組織のヒューマンファイアウォールを強靭化することが、サイバー攻撃を防止するために不可欠です。」   

2023年第1四半期の「要注意件名」統計レポートのポイントをまとめたPDF（英語版）を希望する方は、こちらをクリックしてください。  

＜KnowBe4について＞

KnowBe4は、人的防御層（ヒューマンデフェンス・レイヤー）の形成・構成に重点を置く、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT／データセキュリティ・エキスパートであるStu Sjouwerman（ストゥ・シャワーマン）によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素：ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺（BEC）を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick（ケビン・ミトニック）がCHO（Chief Hacking Officer）を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年12月現在、5万6千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jpにアクセスしてください。

＊セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大のKnowBe4のクラウド型統合プラットフォームは、増加し続けるフィッシング攻撃に対応する最新の模擬フィッシング／ランディングページ演習テンプレート（20,000種以上）に加えて、日々巧妙化するハッカーの手口に対抗するための様々なトレーニングコンテンツ（340種のインタラクティブトレーニングモジュール、545種の動画トレーニングモジュール、1437種のセキュリティ教育／トレーニングコンテンツ）を提供しています（2023年3月末現在）。