配色:                          文字サイズ: 

【ノウ・ビフォー】 最新フィッシングメール動向:セキュリティ警告や人事通達を装うフィッシング攻撃の脅威が増加




最新フィッシングメール動向:セキュリティ警告や人事通達を装うフィッシング攻撃の脅威が増加

- KnowBe4が2021年度第2四半期版の要注意件名トップ10レポートを公開 -

……………………………………………………………………………………………



東京(2021年7月23日発) - セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4社(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、模擬フィッシング攻撃を通してどれくらい攻撃被害を受けやすいかをPPP(Phishing Prone Percentage:フィッシング詐欺ヒット率)として継続的にアセスメントしています。この統計データを最新フィッシングメール動向として、四半期毎に公表しています。本プレスリリースでは、2021年第2四半期(2021年4月-6月期)の「要注意件名」統計レポートの注目ポイントを公開します。



本レポートに関連して、人事通達を装うフィッシングメール攻撃が急増していることが報告されています。特に、全社または全組織の従業員に適用される社内規定の新設や改訂を装うフィッシングメールが顕著に増えています。KnowBe4では、実際のメールについても、本統計レポートで集計しています。IT部門へ報告された実際のフィッシングメールにおいての継続的の傾向として、パスワード確認依頼を装うフィッシングメールの増加が見られます。要注意件名についての動向では、新型コロナウイルス関連のフィッシングメールが激減しています。同時に第1四半期の同レポート で指摘されたように、コロナウイルス関連フィッシングメールの脅威についてさらに多くの人が理解するようになり、この種の攻撃への注意度が上がっていると見られます。また、引き続き、ソーシャルメディア関連メッセージがフィッシングの手段として要注意のカテゴリーとなっています。
仕事や求職関連の情報収集で使われるLinkedInのフィッシングメールは、ソーシャルメディア関連メッセージで最も多く、41%を占めています。

KnowBe4のCEOであるStu Sjouwermanは、今回のフィッシングメール傾向について、次のようにコメントしています。
「今四半期の動向の背景として、多くの従業員がコロナワクチン接種を終わらせ、これに伴い、リモートワークからオフィスワークへの復帰が始めています。これと関連して、多くの企業で新しい社内規定が発行されています。このような通達を装うフィッシングメールが発生しています。サイバー攻撃者は、あらゆる機会を悪用してきます。ここで重要なことは、メール内のリンクや添付ファイルを開く前に手を止めてダブルチェックすることです。まずは、信用せずに、疑ってください。従業員一人ひとりが防御の最終ラインです。サイバー攻撃の被害を受けるか否かの分かれ道は、的確かつ継続的なセキュリティ意識向上トレーニングとフィッシングメール演習が提供されているかです。」

今回の統計では、KnowBe4は、2021年第2四半期(2021年4月-6月期)にKnowBe4のプラットフォームで実施された模擬フィッシング攻撃テストからの数万件のメール件名をチェックしています。また、KnowBe4は、同社のPhish Alertボタンを使ってエンドユーザーがIT部門へ不審メールとして報告した実際のメールの件名についてもチェックしています。今回の統計データ集計結果は以下の通りです。

<一般的に使われるフィッシングメール件名トップ10>


即時パスワード確認依頼
有給休暇取得規定の改定
重要:服装規定の変更
給与振り込みの受領確認
[[会社名]]緊急連絡システムのテスト
定期サーバー保守 - インターネットアクセス不可
新型コロナウイルス関連のリモートワーク内規変更
[[ドメイン]]のMX2310Uからのスキャン画像
セキュリティ警告
配信エラー

*今回の統計データでの件名は英語ですが、日本語に翻訳してあります。英語名称(大文字、スペル)はそのままで表記しています。
**今回の統計データでの件名は、KnowBe4がお客様用に用意した フィッシングテンプレートとKnowBe4の顧客が各自でカスタマイズしたものの両方が含まれています。

また、模擬フィッシングメールに加えて、実際のメールの件名についてもKnowBe4では調査しています。以下は、KnowBe4が2021年第2四半期で検出した実際のメールの件名で最も一般的なものです。

< 実際のフィッシングメールの件名で最も一般的なもの>


Zoom:重要障害
IT通達:ITセキュリティポリシーの確認依頼
Mastercard:確認依頼 - ワンタイムパスワード
Facebook:あなたのアカウントがロックされました。
Google:パスワードが侵害されました。パスワードを変更してください。
Microsoft:セキュリティ警告 - 2 段階認証をオンにして、あなたのアカウントを保護してください。
Docusign:必須 - セキュリティ研修書類に署名してください。
インターンシッププログラム
IT通達:リモートワーク関連の追加更新
人事通達:人事管理システムの新設

*今回の統計データでの件名は英語ですが、日本語に翻訳してあります。英語名称(大文字、スペル)はそのままで表記しています。
**実際のメールの件名とは、エンドユーザーが受け取った実際にメールで不審メールとしてIT部門へ報告したメールの件名です。模擬フィッシングテストでのメールの件名ではありません。

KnowBe4についてさらに知りたい方は、www.knowbe4.jp をアクセスしてください。

<KnowBe4について>
KnowBe4についてKnowBe4は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。KnowBe4は、IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 月に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(
Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2021年6月現在、 3万9千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。また、日本においては、2019年11月にKnowBe4社の100%出資日本法人「KnowBe4 Japan合同会社」を東京都港区に設立し、日本国内での本格的な販売及びマーケティング活動を開始しました。 https://www.knowbe4.jp/