最新フィッシングメール動向：業務関連、人事関連、IT関連のフィッシングメールの危険度が増す

KnowBe4が、2021年第3四半期版の「要注意件名」統計レポート（要注意件名カテゴリー上位10位リスト）を公開 

東京（2021年11月2日発） -  世界のセキュリティ意識向上トレーニング市場をリードするKnowBe4（本社：米国フロリダ州タンパベイ、創立者兼CEO：Stu Sjouwerman （ストゥ・シャワーマン））は、模擬フィッシング攻撃を通してどれくらい攻撃被害を受けやすいかをPPP（Phishing Prone Percentage）として継続的にアセスメントしています。この統計データを最新フィッシングメール動向として、四半期毎に公表しています。本プレスリリースでは、2021年第3四半期（2021年7月－9月期）の「要注意件名」統計レポートの注目ポイントを日本語に翻訳して、公開します。

KnowBe4は、サイバー攻撃者が実際に使用しているソーシャルエンジニアリング手法やフィッシング攻撃に基づいた11,000種以上のテンプレートをカテゴリー別に用意することで、的確な模擬フィッシング攻撃訓練を容易に実施することを可能にしています。KnowBe4のユーザーは、この模擬フィッシング攻撃訓練を通して、標的になりやすい場所や強化すべき分野を確認して、有効なセキュリティ意識向上トレーニングを従業員一人ひとりに提供しています。これに加えて、KnowBe4では、この模擬フィッシング攻撃訓練の結果を匿名化し、傾向分析として活用しています。この一環として、最もクリックされたメール件名を「要注意件名」統計レポートとして四半期毎に公開し、フィッシング攻撃の脅威を広く一般に最新情報として共有しています。

今回の統計では、KnowBe4は、2021年第3四半期（2021年7月－9月期）にKnowBe4のプラットフォームで実施された模擬フィッシング攻撃テストからの数万件のメール件名をチェックし、最もクリックされたメール件名をカテゴリー別に分類し、要注意件名カテゴリーを順位付けしています。

 ＜要注意件名カテゴリー上位10位＞

1. 業務関連（Business： 偽装された請求書、発注書、ファイル共有など）24%
2. オンラインサービス関連（Online Services： 通販、エンタテインメント、他のオンラインアプリ）19%
3. 人事関連（HR：人事通達などの人事部の発信メール）15%
4. IT関連（IT： メールアカウント、アンチウィルス、セキュリティツール関連のお知らせ）12%
5. 銀行／金融サービス関連（Banking and Finance： 入出金通知、口座確認など）9%
6. コロナウイルス／新型コロナウイルス関連フィッシング（Coronavirus/COVID-19 Phishing： コロナ関連およびリモートワークなどコロナ感染に付随するメール）8%
7. 電子メール関連の通達／警告（Mail Notifications： 自動返信などの確認メール、警告メッセージ）4%
8. 機密情報／個人情報関連のフィッシング（Phishing for Sensitive Information： パスワードなどの機密情報の入力依頼）4%
9. ソーシャルネットワーキング (SNS) 関連（Social Networking： SNSおよび関連のアプリの偽装メッセージ）3%
10. ブランド偽装（Brand Knockoffs： 有名企業になりすます偽装メール）2%

また、今回は、地域における状況を分析するために、上位のフィッシングメールの件名については、米国の統計データと欧州・中東・アフリカ（EMEA）地区の統計データを比較しています。メールの件名の統計比較してみると、地域において傾向の違いが表れています。下記に示すように、米国内では多くが自社内部からの発信を装う標的型のフィッシングメールが上位を占めるのに対して、EMEA地区では外部からの日々の作業や活動に関連する件名が上位を占めています。

＜一般的に使われるフィッシングメール件名トツプ5＞

米国内：

1. 有給休暇取得規定の改定
   
2. 即時パスワード確認依頼
3. 重要：服装規定変更
4. 人事査定確認
5. リモートワーク満足度調査

EMEA：

1. あなたのドキュメントが完成しました - コピーを保存
2. ステファニーがあなたをエンドースしました！
3. あなたはLinkedIn のパスワードのリセットをリクエストしました
4. Windows 10アップグレードエラー
5. インターネット容量警告

*今回の統計データでの件名は英語ですが、日本語に翻訳してあります。英語名称（大文字、スペル）はそのままで表記しています。
**今回の統計データでの件名は、KnowBe4がお客様用に用意した フィッシングテンプレートとKnowBe4の顧客が各自でカスタマイズしたものの両方が含まれています。

さらに、KnowBe4は、全四半期と同様に、同社のPhish Alertボタンを使ってエンドユーザーがIT部門へ不審メールとして報告した実際のメールの件名についてもチェックしています。今回の統計データ集計結果は以下の通りです。

< 実際のフィッシングメールの件名トップ5>

1. IT部門：あなたのアカウントからの不審なメール
2. IT部門：変更予定
3. 人事部門: リモートワーク満足度調査
4. Facebook：本人確認のため、あなたのFacebookへのアクセスが一時的に停止されました
5. Twitter：Twitterアカウントが侵害された可能性があります

*今回の統計データでの件名は英語ですが、日本語に翻訳してあります。英語名称（大文字、スペル）はそのままで表記しています。
**実際のメールの件名とは、エンドユーザーが受け取った実際にメールで不審メールとしてIT部門へ報告したメールの件名です。模擬フィッシングテストでのメールの件名ではありません。

KnowBe4のCEOであるStu Sjouwermanは、今回のフィッシングメール傾向について、次のようにコメントしています。
「ソーシャルエンジニアリング攻撃は、悪意のあるハッカーが組織に侵入したり、損害を与えたりするのに使う最も重要な方法の1つであり続けています。フィッシングメールはこのきっかけを作る攻撃手段として引き続き増加し続けています。第3四半期の傾向として、業務メールや人事通達を装う標的型の攻撃が増加しています。半面、ソーシャルメディアからのメールを装うバラマキ型のフィッシングキャンペーンへの依存度は低くなっています。ヒューマンファイアウォールの強化は、増加傾向ある標的型の攻撃に対抗するためには不可欠です。セキュリティ担当者に、フィッシング攻撃を行うサイバー犯罪者が頻繁に使用する戦術やテンプレートに関する最新のデータを提供することで、さらに巧妙化するフィッシング攻撃に備えることが急務です。今まで以上に、従業員一人ひとりが警戒心を持ち、クリックする前に立ち止まって考えることを忘れないようにする必要があります。」

KnowBe4についてさらに知りたい方は、www.knowbe4.jp  をアクセスしてください。

＜KnowBe4について＞
KnowBe4（NASDAQ: KNBE）は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT／データセキュリティ・エキスパートであるStu Sjouwerman（ストゥ・シャワーマン）によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素：ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺（BEC）を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick（ケビン・ミトニック）がCHO（Chief Hacking Officer）を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2021年8月現在、 4万1千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。