8万人対象のフィッシング演習、 エフセキュアがリサーチ結果を発表

~ エンジニア層も一般社員と同程度またはそれ以上にフィッシングの罠に陥りやすいことが判明~

2022年1月31日: 先進的サイバー・セキュリティ・テクノロジーのプロバイダであるF-Secure (本社: フィンランド・ヘルシンキ、CEO: Juhani Hintikka、日本法人: 東京都港区、以下、エフセキュア) は、同社が8万人以上を対象に実施したフィッシングメール演習に関するリサーチの結果を発表しました。リサーチによると、人事部門を装ったメールや、請求書作成についてのメールが最も多くクリックされていること、そしてエンジニア層も他の一般社員と同程度またはそれ以上にフィッシングの罠に陥りやすいことが判明しました。

『To Click or Not to Click』(クリックすべきか、しないべきか) と名付けられたこのリサーチには、異なる業界の4つの企業の82,402人が参加し、攻撃に使用されやすい4種類のフィッシング手法を模した電子メールに対して、どのように反応するかを検証しました。

今回の調査で最も高い割合でクリックされたのは休暇取得に関する人事部門からの通知を模したメールであり、メール受信者のうち22%がメール中のリンクをクリックしていました。2番目に多くクリックされていたのは、メール受信者に請求書の作成を依頼するメール (本レポートでは「CEO Fraud: CEO詐欺」と呼んでいます) で、受信者のうち13%(注)がクリックしていました。続いてドキュメント共有を模したメール (7%)、オンラインサービスからのサービス通知を装ったメール (6%) となっていました。

注: リリース公開当初、16%と表記していましたが、13%の誤りでしたので訂正いたしました。

図1: メールタイプ別のクリック率/報告率

エフセキュアでサービスデリバリーマネージャーを務め、本レポートの主執筆者であるMatthew Connor (マシュー・コナー) は、このリサーチにおいて最も注目すべき発見は、テクニカル部門に所属する従業員が、それ以外の部門の社員と同等またはそれ以上にフィッシングの被害に遭いやすいということだと語っています。
「技術者は企業のインフラへのアクセス権限を持っているため、攻撃者がより積極的に狙っている可能性があり、そのため、彼らがフィッシングに対する標準的あるいは高度な警戒心を持ち合わせているかが試されることとなります。今回の調査終了後に実施したアンケートによると、こうしたテクニカル部門の社員はそれ以外の部署の人々よりも過去のフィッシングの試みをしっかり認識していることがわかりました。従って、これからも不審なメールをフィッシングとして認識し続けることができるかが防御のための重要な課題となります。しかし、たとえ高い認識レベルも持っていたとしても、彼らのフィッシングメールのクリック率がその他の社員と同程度またはそれ以上であるという事実は、フィッシング対策において大きな脅威となるものでしょう。」

調査対象となった企業のうち2社で、IT/DevOps部門の社員がフィッシング演習メールをクリックした割合は、どちらもその企業の他部門と同等かそれ以上となっていました。1社では企業全体でのクリック率が25%だったのに対してDevOps部門が26%、IT部門が24%と、ほぼ同程度でした。また、もう1社では企業全体では11%でしたが、DevOps部門が30%、IT部門が21%と、非常に高いクリック率でした。

また、これらのテクニカル部門は他部署と比較し、フィッシングの疑いがあるメールの報告についても大きなアドバンテージを持っているとは言えないこともわかりました。1社では、IT部門とDevOps部門の不審メール報告能力は、9部門中でそれぞれ3位と6位でした。もう1社では、16部門中でDevOpsが11位、ITは15位でした。

本レポートでは、迅速かつシンプルな不審メール報告プロセスの価値も強調されていました。フィッシング演習メールが受信ボックスに届いてから最初の1分間で、「不審である」と報告した社員の実に3倍以上もの社員がメール中のリンクをクリックしていました。この数字は、5分前後で横ばいとなり、その後も同じ傾向が続いています。

図2: メール配信後の経過時間別のクリック率/報告率

また、時間の経過とともに不審メール報告も増加していく一方で、企業ごとに異なるプロセスが重要な役割を果たしました。不審メールにフラグを立てるためのボタンを全社員のメールクライアントに搭載している企業においては、受信者の47%が調査期間中にそのボタンを使用しました。他の2つの企業での参加者は、フィッシング演習メールを「不審である」と報告したのはわずか13%と12%となっていました (もう1社は不審メール報告に関するデータを提供していませんでした)。

エフセキュアのコンサルティング部門であるF-Secure Consultingでディレクターを務めるRiaan Naude (リアン・ナウデ)によると、今回の調査で明らかになった不審メールの報告率とクリック率のパターンは、今後企業がフィッシングへの対策を立てるうえで非常に実践的な機会を提供することができたと語っています。
「今回のリサーチでは、セキュリティ部門と他部門が協力し、企業のフィッシングへの耐性を向上させるためのスターティングポイントとして、迅速かつシンプルに不審メールを報告できるプロセスの必要性を明確に指摘しています。このプロセスを適切に行うことで、攻撃を早期に発見し、防御できることを意味しているのです。」

フィッシングやその他のセキュリティ上の課題への対応をサポートするエフセキュアのソリューションの詳細については、以下のページをご覧ください。
https://www.f-secure.com/jp-ja/business

『To Click or Not to Click: 8万人を対象としたフィッシング演習から学んだこと』ダウンロードページ:
https://www.f-secure.com/content/dam/press/ja/media-library/reports/2022201_F-Secure_Phishing_Study_Report_JP.pdf

ブログ掲載ページ:
https://blog.f-secure.com/ja/insight-from-a-large-scale-phishing-study/

エフセキュアについて

エフセキュアほどサイバーセキュリティを熟知している企業は市場に存在しません。1988年の設立以来、エフセキュアは30年以上にわたりサイバーセキュリティの技術革新を牽引し、数千社の企業と数百万人のユーザーを守ってきました。エンドポイントの保護と脅威の検出・対応において他企業を圧倒する実績を持つエフセキュアは、巧妙なサイバー攻撃やデータ侵害からランサムウェアの感染の蔓延までを含む、あらゆる脅威から企業と個人ユーザーを保護します。エフセキュアの先進テクノロジーは、機械学習の力と世界的に有名なセキュリティラボのエキスパートの持つ専門知識を組み合わせた、『Live Security』と呼ばれる独特のアプローチに基づくものです。ヨーロッパにおいて、エフセキュアは他のどのセキュリティ関連企業よりも多くのサイバー犯罪捜査に携わっています。エフセキュア製品は全世界200社以上のブロードバンド/モバイル事業者と数千社にのぼるセールスパートナーを通じて販売されています。


エフセキュアは本社をフィンランド・ヘルシンキに、日本法人であるエフセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。Twitter @FSECUREBLOG でも情報の配信をおこなっています。

f-secure.coom | twitter.com/fsecure | linkedin.com/f-secure

F-Secure media relations

秦 和哉 (Kazuya HATA)

PR Manager, Japan

+81 3 4578 7745
japan-pr@f-secure.com

プレス登録

F-Secureからのリリース配信をご希望の方は、こちらからご登録ください。

We process the personal data you share with us in accordance with our Corporate Business Privacy Policy.