Proofpointが最新の「State of the Phish Report」を公開 2018年はソーシャルエンジニアリングを使ったサイバー攻撃とクレデンシャル侵害が急増
サイバー犯罪者は引き続きエンドユーザーを狙っており、ピープル・セントリックなセキュリティ
アプローチが求められると共に、セキュリティ意識を向上させるトレーニングが重要です
本リリースは、英語版プレスリリース「https://www.proofpoint.com/us/newsroom/press-releases/global-state-phish-report-finds-social-engineering-cyberattacks-and」の抄訳です。
2019年1月24日 カリフォルニア州サニーベール - サイバーセキュリティおよびコンプライアンスの主導的企業であるProofpoint、Inc.(NASDAQ:PFPT)は本日、「State of the Phish Report」の最新版を公開しました。このレポートは、15以上の業界についてフィッシング攻撃のトレンドを分析し、主要7ヵ国(日本、米国、オーストラリア、フランス、ドイツ、イタリア、イギリス)で働く7000人以上の成人労働者が基本的なサイバーセキュリティについての知識をどれだけ持っているのかを調査しています。
また、1年間にエンドユーザーに送信された数千万件もの疑似フィッシング攻撃から得られたデータを、Proofpointが持つ情報セキュリティの専門家のデータベース(顧客及び非顧客)宛てに送信された調査への約15,000件の回答と共に分析し、グローバルなフィッシング攻撃の状況についても詳しく調べました。
全体の概要としては、調査回答者の83%が2018年にフィッシング攻撃を受けたと回答しており、2017年の76%から増加しました。一方で回答者の60%近くが、セキュリティ意識向上トレーニングのおかげで従業員による脅威の検出数が増加したと指摘しています。また、フィッシング、スピアフィッシング、smishing(SMSフィッシング)、vishing(ボイスフィッシング)およびUSBドロップなどのソーシャルエンジニアリング攻撃の被害に遭う組織が年々増えていることにも注目すべきです。そしてフィッシング攻撃による被害で最も多かったのがアカウント侵害で、今回初めてマルウェア感染を上回りました。
Proofpointのセキュリティ意識向上トレーニング担当ゼネラルマネージャであるJoe Ferraraは、「電子メールはサイバー攻撃において最も多いベクター(侵入経路)であり、現代のサイバー犯罪者は組織内で高いアクセス権を持っていたり、機密データの取り扱いを行っていたりするなどの高い情報価値を持つ個人を標的としています。」と述べています。「これらの脅威の規模と巧妙さは増しており、組織はセキュリティ意識向上のためのトレーニングを急ぐべきです。サイバーセキュリティのベストプラクティスについて従業員を教育し、エンドユーザーを侵害しようとする脅威アクターに対抗するために、人中心のセキュリティ戦略を確立することが重要です。」
今年の State of the Phish Reportの主なポイントは、以下の通りです:
- 情報セキュリティの専門家によれば、あらゆるタイプのソーシャルエンジニアリング攻撃が毎年増加しているということです。フィッシング攻撃は76%から83%に、スピアフィッシングは53%から64%に、smishingおよび/またはvishingは45%から49%に、USBドロップ攻撃は3%から4%に増加しました。
- クレデンシャル侵害は2017年に比べて70%、2016年に比べると280%も増加し、フィッシング攻撃の被害として最も多いとされてきたマルウェア感染を初めて上回りました。2018年にフィッシング攻撃によって情報漏洩が起きたと回答した回答者は2016年に比べて3倍に増加し、増え続けるフィッシング攻撃とその被害を印象づけました。
- 全回答者の83%が2018年にフィッシング攻撃を受けたと回答し、前年比で9%の増加を示しています。一方でランサムウェア攻撃を受けたと回答したのは全体の10%で、昨年はランサムウェアが他のタイプの攻撃に席を譲ったことが確認できます。
- エンドユーザーが「疑わしい」と感じて報告した電子メールの59%が、フィッシングの可能性ありと分類されており、エンドユーザーのリテラシーが向上し、受信した電子メールについてより慎重で思慮深くなっていることを示しています。
- 54歳以上のベビーブーマー世代は、フィッシングおよびランサムウェアの基本的な知識について他のすべての年齢層よりも優れていました。これは、「若い世代だからサイバーセキュリティの知識が豊富である」という先入観を持たないことが大事であることを示しています。
- 現代においては、サイバー脅威について従業員を教育することは組織にとって非常に重要です。今回の世界的な調査では、成人労働者の正答率は以下の通りでした:フィッシング(正答率66%)、ランサムウェア(正答率45%)、smishing(正答率23%)、vishing(正答率18%)。これらの調査結果は、セキュリティチームがエンドユーザーとコミュニケーションする際に使う用語について、知識のギャップがあることを明らかにしています。
2019年版のState of the Phish Reportをダウンロードして詳細を確認するためには、https://www.proofpoint.com/jp/resources/threat-reports/state-of-phishをご覧ください。
サイバーセキュリティ意識を高めるためのベストプラクティスとトレーニングの詳細については、https://www.proofpoint.com/jp/products/phishing-simulation-security-awarenessをご覧ください。