次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、世界的に実施した調査を纏めた「Phishing Insights 2021(2021年版フィッシングの動向調査)」を公開しました。この調査から、パンデミック時に在宅で仕事をする何百万人もの従業員がサイバー犯罪者の格好の標的となっていることや フィッシング攻撃が大幅に増加したことが明らかになりました。日本のITチームの過半数(60%)が、 2020年には従業員を標的としたフィッシングメールが増加したと回答しました。
ソフォスの主任リサーチサイエンティストのChester Wisniewskiは次のように述べています。
「フィッシングは25年以上前から存在し、今もなお有効なサイバー攻撃の手法の1つです。フィッシングが成功している理由の1つは、新型コロナウイルスなど多くの人にとって関心の高い問題に便乗したテーマを悪用し、人間の感情や信頼を巧みに利用して、常に進化し多様化する能力を持っていることです。企業は、フィッシング攻撃を比較的低いレベルの脅威と見なしがちですが、それではその威力を過小評価することになります。フィッシングは多くの場合、多段階にわたる複雑な攻撃の第一段階で利用される手段です。Sophos Rapid Responseによると、攻撃者はユーザーを騙してマルウェアをインストールさせたり、企業ネットワークにアクセスするための認証情報を提供させたりするためにフィッシングメールを使用しています」
今回の調査では、フィッシングの定義について共通の理解が得られていないことも明らかになりました。 例えば、日本のITチームの52%は、フィッシングとは実際の企業になりすまして脅威をもたらしたり、情報を提供するように持ち掛けたりするメールであると認識しています。42%のチームは、BEC攻撃(ビジネスメール詐欺)をフィッシングだと考えており、3分の1(31%)はスレッドハイジャック(攻撃の一環として正規のメールスレッドに攻撃者のメールを挿入すること)をフィッシングだと考えています。
幸いなことに、日本では多くの組織(75%)がフィッシング対策としてサイバーセキュリティ意識向上プログラムを実施しています。調査対象となった組織は、コンピュータベースのトレーニングプログラム(44%)、インストラクターによるトレーニングプログラム(41%)、フィッシングシミュレーション(41%)を使用していると回答しています。
先述のWisniewskiは次のように述べています。「フィッシングメールが標的のユーザーに配信されることがないようにすることが理想です。優れた効果を発揮するメール・セキュリティ・ソリューションを使用すれば、この理想の実現に近づくことができますが、このソリューションを補完するためにも、不審なメッセージを事前に発見して報告できるようにトレーニングを受けた従業員による警戒が大切です」
調査方法について
「Phishing Insights 2021(2021年版フィッシングの動向調査)」は、欧州、北米・南米、アジア太平洋および中央アジア、中東、アフリカの30カ国のIT意思決定者5,400人を対象に実施されました。
ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp)をご覧ください。