プルーフポイント、ランサムウェアとフィッシング攻撃の傾向を明らかにした年次レポート「2021 State of the Phish」日本語版を発表
2021/04/06
2021年4月6日、サイバーセキュリティとコンプライアンス分野のリーディング カンパニーである日本プルーフポイント株式会社 (本社:東京都港区、代表取締役社長:茂木正之、以下プルーフポイント)は本日、年次レポートの最新版「2021 State of the Phish(フィッシング脅威の全容)」の日本語版を発表しました。本レポートは、企業のフィッシング体験を調査し、ユーザーの意識、脆弱性、及びレジリエンス(回復力)について詳細に分析したものです。調査対象となった情報セキュリティプロフェッショナルの75%以上が、広範囲にわたるフィッシング攻撃(成功・失敗含む)に直面していると回答しています。また、ランサムウェア感染の影響は、第三者によるグローバル調査の回答者の66%に達しました。
概要
今回の「2021 State of the Phish」レポートは、主要7カ国(日本、アメリカ、オーストラリア、フランス、ドイツ、スペイン、イギリス)における情報セキュリティプロフェッショナル600人(日本とオーストラリア:各50人、その他5カ国:各100人)を対象としたグローバルな第三者調査、および同7カ国の成人労働者3,500人(各国500人)を対象とした第三者調査結果をハイライトしています。また、プルーフポイントの顧客企業・組織が従業員に送信した6,000万件以上の模擬フィッシング攻撃のデータと、ユーザーが操作するフィッシュアラーム(PhishAlarm reporting button)から報告された約1,500万通の電子メールのデータを分析しています。
主な調査結果
本レポートにおいて、サイバーセキュリティ保護と意識向上トレーニングには、コロナ禍で組織がおかれた状況の変化に対応する、「人」を中心にセキュリティを構築するPeople-Centricアプローチの必要性が明確に出ています。調査結果では「アメリカでは、情報セキュリティ調査の回答者の90%が昨年から在宅勤務に移行しているが、安全なリモートワークに関するトレーニングを行ったと回答したのは29%」「日本の組織の84%が、2020年に大半のユーザーに在宅勤務を要求しているが、リモートワークのベストプラクティスについて従業員にトレーニングを行っているのは22%」など、カスタマイズされたトレーニングが不足していることが明らかとなっています。本レポートでは、実用的なアドバイスやフィッシングの脅威の状況を詳細に分析し、リスクを軽減するためのアドバイスを提供しています。
世界における主な調査結果:
- 2020年には、全体の組織の57%がフィッシング攻撃を経験:第三者調査の結果、フィッシング攻撃された組織の割合は、2019年の55%に対して2020年は57%と2%増加。また、ビジネスメール詐欺(BEC)は引き続き深刻な懸念材料となっている。
- 2020年の調査回答者の3分の2以上が、所属する組織のランサムウェア感染を経験:半数以上の回答者がデータへのアクセスを迅速に回復させることを期待して身代金の支払いを決めたと回答。身代金を支払った人のうち60%は、最初の支払い後にデータ/システムへのアクセスが回復したが、40%近くは最初の支払い後に追加の身代金要求を受けており、前年比320%増となっている。また、32%がその後の追加身代金要求の支払いに同意したと報告しており、2019年と比較して1,500%増加している。
- 調査対象組織の80%が、セキュリティ意識向上トレーニングの実施でフィッシングの影響を受けにくくなったと回答:調査対象となった情報セキュリティプロフェッショナルの98%が、所属組織でセキュリティ意識向上トレーニングプログラムを実施していると回答しているが、サイバーセキュリティトレーニングの取り組みの一環としてユーザーに正式なトレーニングセッションを提供しているのは64%にすぎない。
- プルーフポイントの顧客が行ったフィッシング攻撃シミュレーションの平均失格率は全体で11%:2020年の平均失格率は2019年の12%と比べ低下している。全体の平均回復力の係数は1.2で、一般的にこれらの組織のユーザーは、不審な電子メールとやり取りするよりも、不審な電子メールを報告する可能性が高いことを示している。
- プルーフポイントの脅威リサーチの結果、製造業の組織は、2020年に実際のフィッシング攻撃の平均発生量が最も多い:製造業界の組織は、フィッシング脅威に対するユーザーの反応をテストすることに最も積極的で、全体の失格率は11%。
- 部門レベルでは、組織の購買部門が最も優秀で平均失格率7%:メンテナンス部門と設備部門は、フィッシング攻撃シミュレーションの平均失格率がそれぞれ15%と17%で、分析した中で最も成績が悪い部門だった。
日本における主な調査結果:
- 日本の組織の84%は、2020年に大半のユーザーに在宅勤務を要求したが、リモートワークにおけるベストプラクティスについて従業員にトレーニングを行っているのは22%しかなかった。
- 2020年に日本で発生したAmazonになりすました偽メッセージの猛攻と、これらのクレデンシャルフィッシング攻撃が非常に大量に発生したことが、日本でのアカウント漏洩の発生率が平均以上に高かったことの一因となっている可能性がある。日本の組織の約64%がフィッシング攻撃から認証情報およびアカウント侵害の被害を受けており、調査対象地域の中で最も多かったが、直接的な金銭的損失に対処するケースは11%と最も少なかった。
- スミッシング(SMSフィッシング)とは何かという質問に対して、日本の社会人の正解率はわずか19%(世界平均31%)、どう答えればいいのかわからないと回答したのが56%(世界平均44%)と大幅に低い結果となった。
- メールの送信元が偽装できることを認識しているのはわずか30%。
- 日本の組織の37%では、ユーザーに対して正式 なトレーニングとして割り当てた時間は、1 年間に 1 時間未満。
- 日本の組織の66%が、定期的にフィッシング攻撃に引っかかった従業員に対して何らかのペナルティを課していると回答。これは、調査対象国の中で最も高い割合(世界平均は55%)。
- フィッシング攻撃(模擬攻撃であれ実際の攻撃であれ)に「繰り返し騙されるユーザー」に対してペナルティを与えるという考え方の「Consequence Model(結果責任モデル:ペナルティ方式)」を使用している国では、違反を繰り返した場合の罰則として、上司からのカウンセリング(64%)、情報セキュリティチームからのカウンセリング(58%)、年次業績評価への影響(58%)が上位を占めている。日本の従業員に対する金銭的な罰則は、世界平均の26%に対して、調査対象国の中で最も高い36%であった。
- 日本の組織の85%が「結果責任モデル(ペナルティ方式)」が従業員の意識向上につながったと回答。
調査結果に対する考察
各組織は、地域・業界・部門を超えた共通の経験だけでなく、それぞれのミッション、目標、人に対する固有の脅威も考慮した「人を中心としたサイバーセキュリティ戦略」を積極的に策定することが奨励されます。
日本プルーフポイント株式会社 サイバーセキュリティ エバンジェリストの増田 幸美は次のように述べています。「世界中の攻撃者は、その時の最新のトピックを使ったおとりテーマを用いて、人々を騙し、標的にし続けています。特に、昨今ユーザーがリモートワークをおこなう中で、ほとんどの場合は安全性の低い環境で仕事をしています。そのような状況において、ユーザーがサイバー攻撃を発見して報告する方法を習得していることは、ビジネス上非常に重要なことです。」。
また、日本企業に関して増田は、「組織の84%が在宅勤務の要請もしくは計画をしているものの、リモートワークにおける適切なトレーニングを従業員に行っているのはわずか22%にとどまっています。さらに、37%の日本企業が正式なトレーニング時間を従業員に対して割りあてているものの、1年に1時間未満と非常に短時間となっています」と懸念し、日本企業におけるセキュリティ意識向上トレーニングの必要性を訴えています。
「2021 State of the Phish」レポート(日本語版)は以下リンクよりダウンロードしてください:
https://www.proofpoint.com/jp/resources/threat-reports/state-of-phish
サイバーセキュリティ意識向上トレーニングに関しては以下をご覧ください:
https://www.proofpoint.com/jp/products/security-awareness-training
Proofpoint | プルーフポイントについて
Proofpoint, Inc.(NASDAQ: PFPT)は、サイバーセキュリティのグローバル リーディング カンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 1000の過半数を超える企業などさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。
詳細は www.proofpoint.com/jp にてご確認ください。
© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります。
<本件に関する報道関係者からのお問い合わせ先>
バーソン・コーン&ウルフ・ジャパン
担当:中根/樫村
TEL: 070-4504-0784/070-4504-0794
Email:proofpointJP@bcw-global.com