最も多くクリックされた要注意のメール件名は、前四半期と同様に、人事またはIT関連の業務メールの件名。クリックされた上位件名のほぼ半数を占める。
米国フロリダ州タンパベイ(2024年12月3日発)/東京(2024年12月9日発)- 統合型セキュリティ意識向上トレーニングとヒューマンリスク管理で世界をリードするサイバーセキュリティ・プラットフォームのプロバイダーであるKnowBe4(本社:米国フロリダ州タンパベイ、創立者兼CEO:Stu Sjouwerman (ストゥ・シャワーマン))は、2024年度第3四半期(2024年7月~9月)フィッシングレポートを公開して、最新のフィッシング動向を発表しました。本レポートでは、フィッシングテストで最も多くクリックされたメールの件名を分析していますが、第3四半期の結果では人事およびIT関連のフィッシングが引き続き多くの従業員の関心を惹きやすいことが明らかにされています。
また、人事およびIT関連のフィッシングメールは、世界で最もクリックされた上位件名の48.6%を占めています。サイバー攻撃者の手口が進化し続けていますが、フィッシングメールはサイバー攻撃を実行する最も有効なツールの1つであることは変わりありません。
KnowBe4の2024年度版業界別フィッシングベンチマーキング調査レポートは、ほぼ3人に1人のユーザーが不審なリンクをクリックしたり、詐欺的な要求に応じたりする可能性があることとフィッシング攻撃の最大の脅威であると警告しています。サイバー攻撃者は、この「人の脆弱性」を悪用し続けています。そして、最新の動向に合わせて、相手を信頼させるフィッシングメールの件名を工夫し、切迫感、混乱、不安、あるいは興奮といった人の感情を揺さぶり、受信者を悪意のあるリンクのクリックや有害な添付ファイルの開封などの行動へと誘導しています。
本レポートでは、メールに埋め込まれたフィッシングリンクがもたらす継続的な脅威にスポットを当て、このような悪意のあるリンクやPDFの添付ファイル、なりすましドメインは、アクセスされると、ランサムウェア攻撃やビジネスメール詐欺など、多くの場合、深刻なサイバー被害につながると指摘しています。また、QRコードを利用したフィッシングキャンペーンが急増していることも報告されています。よく使われるQRコードフィッシングの件名には、人事部からの業務規程の確認、緊急書類への署名を促すDocuSignメール、Zoomミーティングの招待などがあります。これらのメッセージは、人事部、同僚、外部取引先からの連絡を装っていることが多く、サイバー攻撃者達にとって容易に複製することができるため、大きなリスクをもたらします。
KnowBe4のCEOであるストゥ・シャワーマンは、2024年第3四半期の最新フィッシング動向について次のようにコメントしています。
「2024年第3四半期のレポートは、フィッシングの手口がますます巧妙化していることを裏付けており、従業員が社内コミュニケーションへの信頼をサイバー犯罪者が悪用するケースが増えています。人事やIT関連のフィッシング攻撃の増加と、QRコードの統合などの新たな手法の登場により、複雑な脅威の現状が生み出されています。これらの手口は、信頼されている情報源の正当性が悪用されているので疑われにくく、行動を急かしてくるので詳細な確認を回避します。この急速に変化し続ける環境においては、十分に訓練された従業員のセキュリティ意識と強固なセキュリティ文化は有効なものというより必須なものと言えます。ヒューマンリスク管理を優先することで、回避可能なサイバー脅威に対して強固な防御を効果的に構築することができます。」
2024年第3四半期の「要注意件名」統計レポートのポイントをまとめたPDFを希望する方は、 こちらをクリックしてください。