2022年第4四半期(2022年10月-12月期)および2022年通年の「要注意件名」統計レポートの注目ポイントを公開
東京(2023年1月24日発)- セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダー(*)であるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、模擬フィッシング攻撃を通してどれくらい攻撃被害を受けやすいかをPPP(Phishing Prone Percentage:フィッシング詐欺ヒット率)として継続的にアセスメントしています。この統計データを最新フィッシングメール動向として、四半期毎に公表しています。本プレスリリースでは、2022年第4四半期(2022年10月-12月期)および2022年通年の「要注意件名」統計レポートの注目ポイントを公開します。このレポートでは、KnowBe4プラットフォーム上でのフィッシング模擬演習でクリックされた上位のメール件名に加えて、実際に発信されているフィッシングメールのメール件名などの最新フィッシングメール動向を考察しています。
フィッシングメールは、最も効果的な、最も費用対効果の高い手口です。サイバー犯罪者は、フィッシングメールを日々巧妙化させ、巧みにエンドユーザーや組織へ忍び寄ってきています。サイバー犯罪者は、フィッシングメールの件名をより信憑性が高く、注意を引くようなものへ日々進化させています。このようなフィッシングの手口の最新傾向として、前四半期に引き続き、2022年第4四半期(2022年10月-12月期)においても、サイバー犯罪者が業務関連のメールを使用することが増加しています。
業務関連のフィッシングメールは、極めて有効であり、高い成功率を収めています。その背景には、勤務時間・勤務制度や内部規定など、放置しておく日常業務に影響を与える可能性があるという「人」の心理があります。この傾向は、リモートワークが常態化する中、ますます強まっています。その中には、人事部門、IT部門や上司からの通達や通知などのほか、業務用に利用されているGoogleやAmazonなどのWebサービスからのメールも含まれています。また、KnowBe4の2022年通年レポートは、1年間のメール件名の約50%が人事関連の通達で、残りの半分がキャリア開発・人材育成のお知らせ、IT部門の通達・通知、業務プロジェクト関連の通知であったことを明らかにしています。この種のメールは、受信者の心理的な隙を突く、開封させるものです。ユーザーに切迫感をあおったり、直感的に反応させてすぐに行動させたりするために成功していると思われます。 時間をかけてメールの正当性を疑う余地を無くしているのです。
さらに、2022年度のフィッシング模擬演習では、メールの本文中にフィッシングリンクを埋め込む手法が最も多く使われています。これは過去3四半期連続で一貫しています。これらのフィッシングの手法の組み合わせは、サイバー犯罪者にとっては明らかに有効な戦略です。サイバー犯罪者は、フィッシング攻撃を糸口に、BEC(ビジネスメール詐欺)やランサムウェアなどのサイバー攻撃を展開しています。
また、2022年第4四半期レポートを考察してみると、業務関連のフィッシングメールの増加に加え、季節的な要素となりますが、年末年始のフィッシングメールの上位の件名となっています。クリスマス・年末年始の休暇シーズンは、1年で最もオンライン活動が活発な時期です。サイバー犯罪者は。ここから生まれるエンドユーザーの心理的な隙を巧みに突き、フィッシングメール攻撃を仕掛けてきているのです。通常のフィッシングメール件名と同様に、休暇シーズンのフィッシングメールも、人事部門やIT部門からの通達やお知らせが多く含まれますが、一方、クリスマスパーティー、忘年会・新年会やクリスマスギフトや年末ギフトなど、その時期によく起こるトピックを巧みに織り込んだ内容になっています。
KnowBe4のCEOであるストゥ・シャワーマンは、次のようにコメントしています。
「サイバー犯罪者は賢く、常に研究しています。効果的なフィッシングメールには何が有効で何が無効なのかを熟知しているのです。そのため、サイバー犯罪者が使うフィッシングメールの件名は、エンドユーザーが陥りやすいものへと日々進化し、更新されています。フィッシングメールは年間を通じて脅威であり、年末年始の楽しい休暇シーズンには極めて危険です。この時期のフィッシングメールは、誰もが受信箱に受け取りたくない贈り物です。KnowBe4が「New School 」と呼ぶ新しいスタイルのセキュリティ意識向上トレーニングは、最新のサイバー攻撃手法とその脅威についてユーザーを教育してくれます。KnowBe4のフィッシングレポートは、この重要性を明確に示してくれています。強力なセキュリティカルチャーと教育された従業員は、巧妙化するサイバー犯罪から組織を守るための最善の防衛です。」
2022年第4 四半期と2022年通年の「要注意件名」統計レポートのポイントをまとめたPDF(英語版)を希望する方は、それぞれ 2022年第4 四半期レポートハイライト と 2022年通年レポートパイライト をクリックしてください。
<KnowBe4について>
KnowBe4は、人的防御層(ヒューマンデフェンス・レイヤー)の形成・構成に重点を置く、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2022年10月現在、5万4千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。
*セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大のKnowBe4のクラウド型統合プラットフォームは、増加し続けるフィッシング攻撃に対応する最新の模擬フィッシング/ランディングページ演習テンプレート(19,000種以上)に加えて、日々巧妙化するハッカーの手口に対抗するための様々なトレーニングコンテンツ(350種のインタラクティブトレーニングモジュール、546種の動画トレーニングモジュール、1437種のセキュリティ教育/トレーニングコンテンツ)を提供しています(2022年12月27日現在)。
