「エンジニアはフィッシングメールに引っ掛かりにくい」わけではない F-Secureが調査結果を発表:最もクリックされたのは「人事部門からの休暇取得メール」
F-Secureは、フィッシングメール演習に関する調査結果を発表した。それによると人事部門を装ったメールがクリックされやすく、ITに詳しいエンジニアであっても一般社員と同様にフィッシングに引っ掛かることが分かった。
F-Secureは2022年1月31日、フィッシングメール演習に関する調査結果を発表した。その結果、人事部門を装ったメールや請求書の作成についてのメールがクリックされやすいことが分かった。
この演習は攻撃に使用されやすい4種類のフィッシング手法を模した電子メールに対して、人々がどのように反応するかを検証したもの。異なる業界の4社に所属する計8万2402人を対象に実施した。
エンジニアもわなに掛かる
用意した手法は「請求書の作成を依頼するメール」「ファイル共有メール」「人事部門を装った休暇取得に関するメール」「サービス通知メール」の4つ。最もクリック率が高かったのは人事部門を装った休暇取得に関するメールで、22%の人がメール内のリンクをクリックしていた。次点は請求書の作成を依頼するメールで、クリック率は13%だった。
所属部署別で見ると4社のうち2社で、事業部門の社員よりもIT部門の社員の方がフィッシング演習メールをクリックした割合が高かった。この点についてF-Secureは「IT部門は他の事業部門と比べて『フィッシングの疑いがあるメールの報告についても優位性がある』と思われていたが、実際はそうではないことが分かった」と分析している。
F-Secureでサービスデリバリーマネージャーを務めるMatthew Connor氏は次のように語る。
「IT部門の社員はインフラやシステムのアクセス権を持っており、攻撃者の標的になりやすい。そのため、フィッシングに対する警戒心を持つことが重要だ。しかし、IT部門の社員のように警戒心を持っていたとしてもフィッシングメールをクリックしてしまう人がいるという事実はフィッシング対策で考慮すべき重要な要素だ」
「迅速な報告」ができる仕組みの構築が必要
F-Secureは、不審メールが届いたときの報告手続きに関しても言及している。調査結果を見ると、フィッシングメールが受信ボックスに届いてから最初の1分間で、「不審メール」と報告した社員の3倍以上の社員がメール中のリンクをクリックしていた。「不審メールにフラグを立てる機能」があるメールクライアントを利用している企業は、47%の社員がその機能を使って不審メールを報告していた。それに対し、報告機能がないメールクライアントを使用している企業では、不審メールの報告した人の割合が13%前後だった。
F-Secure Consulting(F-Secureのコンサルティング部門)でディレクターを務めるRiaan Naude氏は「この調査結果は、企業のフィッシングへの耐性を向上させるための出発点として『迅速で簡単に不審メールを報告できる手続きの必要性』を指摘している。この手続きを適切に実施することで、攻撃を早期に発見し、防御が可能になる」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
インシデントのあったテレワーク導入組織はどんなセキュリティ対策をしていた? デジタルアーツが意識調査
デジタルアーツは、「テレワーク導入・導入検討中の組織に対するセキュリティ対策意識調査」の結果を発表した。2020年に発生したインシデントの8割以上がWebアクセスとメールに起因していた。
受信者をだまして攻撃に加担させる「スピアフィッシングメール」に注意 IPAがJ-CRATの活動を報告
J-CRATの2019年度下半期の活動報告によると、ネットワーク機器の脆弱性やソフトウェアの更新機能を悪用した攻撃などネットワークに侵入する手口が多様化しているという。
「電子メールプロバイダーのフィッシング対策は不十分」 プリマス大の調査
英国プリマス大学の研究チームは「電子メールサービスプロバイダーは、個人と企業をフィッシングの脅威から保護する対策が極めて不十分だ」とする調査結果をまとめた。