2021年4月6日、日本プルーフポイント株式会社は年次レポート「2021 State of the Phish」の日本語版を発表しました。このレポートは、新型コロナウイルスの影響で急増したリモートワーク時におけるフィッシング攻撃やランサムウェアの脅威を探るため、情報セキュリティプロフェッショナルや一般の労働者を対象にした詳細な調査結果をもとに構成されています。
調査の背景と概要
このレポートでは、日本を含む主要7カ国の情報セキュリティプロフェッショナル600人と、3000人以上の成人労働者を対象に実施した調査が基にされています。調査結果は、フィッシング攻撃が日本国内で非常に多く発生していることを示しています。実際、約64%の企業がフィッシング攻撃による被害に直面しており、その数は世界平均を上回っています。
調査に参加した情報セキュリティ担当者の75%が、フィッシング攻撃の影響を受けていると回答し、特にランサムウェア感染が66%の割合で影響を及ぼしています。これは、攻撃者が最新のトピックを利用しておとりを仕掛け、企業や組織のシステムに侵入してくるためです。
フィッシング攻撃の実態と企業への影響
特に2020年には、57%の組織がフィッシング攻撃の被害を受けたとされています。この攻撃方法は、ビジネスメール詐欺(BEC)に代表されるように、巧妙化しており、企業のセキュリティを揺るがす要因となっています。実際、調査によれば、データへアクセスを迅速に復旧させるために身代金を支払った組織が甚大なリスクを抱えていることが明らかになりました。
フィッシング攻撃に対抗するため、多くの企業がセキュリティ意識向上のためのトレーニングを実施していますが、これはあまり効果的ではないという声も多いようです。特に、日本の組織はリモートワークに関するトレーニングを22%しか実施していない一方で、リモートワークに移行した企業は84%に達しています。前述の理由からも、カスタマイズされたトレーニングの必要性が明らかです。
日本の特徴と現在の課題
日本での調査結果によると、フィッシング攻撃やランサムウェアの脅威の中で特筆すべきは、その知識の限界です。例えば、スミッシング(SMSフィッシング)の質問に対して、正解率は19%と非常に低く、56%が答え方がわからないと回答しています。これは、サイバーセキュリティの意識が依然として不足している状況を反映しています。
また、調査の結果、66%の企業が、フィッシング攻撃に引っかかった従業員に対して何らかのペナルティを設けているというのも特記事項です。これにより、従業員の意識向上につながる効果があるとする声も上がっていますが、根本的なトレーニング時間の少なさや、効果的な手法の選定が求められています。
結論
サイバーセキュリティの脅威がますます高度化していく中で、企業は「人を中心とした」セキュリティ戦略を積極的に構築していく必要があります。特に日本企業においては、従業員に十分なトレーニングと教育を提供することが急務です。プルーフポイントの増田サイバーセキュリティエバンジェリストも指摘するように、サイバー攻撃への認識と対策を強化することが、今後のビジネスの存続にも影響を及ぼすことでしょう。
「2021 State of the Phish」レポートの詳細な内容は、以下のリンクからダウンロード可能です。
2021 State of the Phish 日本語版
サイバーセキュリティ意識向上トレーニングの詳細については、
こちら。