フィッシングメールの攻撃キャンペーンは、 ソーシャルエンジニアリング を用いてユーザーを騙す手口で、サイバー犯罪者の多くがよく使っています。簡単に使用でき、攻撃が成功すれば大きな見返りが期待できます。しかし フィッシング攻撃 を受ける組織の側から見れば、以下のとおり、甚大な損失につながりかねません。
図1: 2015年度と2021年度のフィッシング攻撃による損失額の比較
Ponemon の Cost of Phishing (フィッシング攻撃による損失) レポートは、組織が負担する年間損失の内訳を分析し、ビジネスメール詐欺 (BEC) /メール詐欺に関連する損失およびランサムウェア攻撃に関連する損失が急増していることを明らかにしました。
フィッシング詐欺による損失は、近年飛躍的に増大しています。プルーフポイントのスポンサーによる Ponemon Institute の最新の調査 The 2021 Cost of Phishing Study (フィッシング攻撃による損失2021レポート) によれば、2021年のフィッシング攻撃による年間平均損失額は、従業員が9,600人規模の組織で1480万ドル、従業員1人当たりでは1,500ドルをわずかに上回る金額となりました。これは2015年に380万ドルであった水準から3倍以上の拡大となっています。
フィッシング攻撃による損失の拡大に寄与したさまざまな要因
図2: マルウェア攻撃による予想損失
事業の混乱およびデータ流出から生じる最大損失額が、いずれも年間1億ドルを超えていることを考慮すると、マルウェア攻撃を封じ込められない場合、事業者にとって相当大きなリスクになります。
マルウェア の封じ込めができないことが、フィッシング攻撃による損失を増大させている一因です。Ponemon のレポートによれば、マルウェア攻撃による平均損失額は年間約80万ドルで、組織の総コストの11%を占め、2015年の約34万ドルから増大しています。この調査で封じ込めが困難とされているのは、ファイアウォール、マルウェア対策ソフト、侵害防止システムのような伝統的な防御策をすり抜けてデバイスに入り込むマルウェアです。特に データ流出 や事業の混乱を招く活発なマルウェア攻撃は、封じ込めが容易ではありません。
さらにフィッシング攻撃による損失を押し上げている要因として、非 IT 系の従業員の生産性の低下が挙げられます。Ponemon の調査によれば、フィッシング攻撃が生産性に与える影響は、2015年の180万ドルから2021年には320万ドルに増大しました。従業員はフィッシングメールに関連して平均しておよそ7時間を失っています。これは6年前の4時間からの増大です。
調査の中では、平均的な規模の組織として、9,567人の個人が会社のメールシステムにユーザーアクセスを有する場合を想定しています。フィッシング攻撃によりその全員が毎年7時間の影響を受けるとすると、組織全体では年間6万5000時間以上の労働時間を失うことになります。
フィッシング詐欺 の対処も、リソースを多く用いなければならず、費用がかかります。Ponemon の調査では、米国を拠点とする組織に所属するおよそ600人の IT および IT セキュリティの担当者を対象に調査を行い、フィッシング攻撃の解決にかかる作業のうちもっとも時間のかかるものを質問したところ、感染したシステムのクリーンアップと復旧、およびフォレンジック調査の実施であることがわかりました。
認証情報の不正アクセスは IT セキュリティチームにとって年間何千時間もの損失
図3: フィッシング攻撃から発生する認証情報の不正アクセスによる損失
Ponemon の調査からは、認証情報の不正アクセスも、IT および IT セキュリティ担当者にとって厄介な問題であることがわかります。過去12カ月に、各組織はこの種の不正アクセスを平均5.3件経験しています。
Ponemon では、認証情報の不正アクセスによる損失に関する調査を過去に実施しており、この過去の調査をもとに、1件の不正アクセスの調査と対応に費やされる時間を2,050時間と推計しました。年間5件の不正アクセスを経験すると、技術チームは今後12カ月で約11,000時間をインシデントの対応に費やすことになります。
さらに、Ponemon の調査から、フィッシング攻撃から発生する認証情報の不正アクセスを封じ込める平均費用が、2015年の381,920ドルから、2021年の692,531ドルに増加していることがわかっています。この数値は、クラウドにシフトする組織にとって テレワーク が クラウドセキュリティ の強化にとって課題となっている中で、2015年からの大幅な増加となりました。
ビジネスメール詐欺 (BEC) /メール詐欺はフィッシング攻撃による損失を押し上げる主たる要因に
図4: BEC による損失
最新のフィッシング攻撃による損失調査では、ビジネスメール詐欺 (BEC) がフィッシング攻撃による損失に与える影響についても考察しています。BEC は、組織の資金やデータにアクセスを認められた従業員を標的とするセキュリティ侵害です。BEC に特化したデータがこの調査に組み込まれたのは、今回が初めてです。
Ponemon のレポートによれば、BEC を目的とするフィッシング攻撃による年間平均損失額は、596万ドルでした。予想最大損失シナリオにおいては、1億5000万ドルを負担するリスクがあります。経営幹部がこのリスクに十分な注意を払わない場合には、攻撃者への支払いとして、調査対象組織の例では、平均して年間1億1700万ドルの損失となっています。
BEC は、サイバー犯罪の中でももっとも高額の損失につながります。プルーフポイントのビジネスメール詐欺ハンドブックから、この脅威を効果的に管理するための6つのステップをご覧ください。無料のハンドブックをダウンロード。
ランサムウェア攻撃は急増し、何百万ドルもの損失につながっている
図5: ランサムウェアによる損失
もう1つの新たな項目として、2021年 Ponemon 調査には、ランサムウェアが組織の収益に及ぼす影響についても考察しています。何千万ドルもの予想最大損失額や、ランサムウェアを封じ込めるための何百万ドルもの支出を考えれば、この古くからありながら近年急増している脅威に関する考察は、組織に警鐘をならすものです。
加えて、平均的な組織では、データやシステムへのアクセスを回復するために、80万ドルを攻撃者に直接支払っています。過去のブログでも説明したとおり、ランサムウェアのすべてが E メールから始まるわけではありません。インターネットに接続された RDP を閉鎖する、インターネットに接続された VPNS などの脆弱性を持つアプライアンスや、ファイル転送アプライアンスおよびメールサーバーのすべてにパッチを適用するなど、組織を保護するための 重要な対策 を怠らないようにしてください。
フィッシング攻撃による損失が増大し、新たな脅威が勢いを増す状況においては、ポイントソリューションから一歩身を引いて、すべての脅威に対応できる総合的な対策を検討することが重要です。
脅威対策に総合的なアプローチを採ることで損失は大幅に抑えられる
フィッシング攻撃による損失2021レポートでは、コロナウイルス感染症の世界的な流行によりテレワークが拡大し、セキュリティ対策に苦心する組織が増えていることから、フィッシング攻撃は今後も増え続けると予想しています。
しかし明るい兆しもあります。Ponemon の調査では、 セキュリティトレーニングおよび意識向上プログラム により、フィッシング攻撃を阻止する方法を教育することで、攻撃を弱体化させることができるだけではなく、フィッシング攻撃による損失そのものを減らすことができると示唆しています。
調査では、IT および IT セキュリティの担当者を対象に、特に組織のユーザーを標的とするフィッシング攻撃のリスクに関しトレーニングや意識向上プログラムを実施することで、フィッシング攻撃のリスクを何割程度減らすことができるか質問しました。その回答から、Ponemon のレポートでは、フィッシング攻撃による損失は平均して5割以上 (53%) を削減できるとしています。
最後に、組織は多層的な保護策についても検討する必要があります。組織の メールゲートウェイ は、従業員に忍び寄る脅威を入口の段階でどの程度阻止できているでしょうか?メールの受信後にも 脅威を修復する 対策は講じられているでしょうか? DMARC 認証技術や詐欺のリスクモニタリングが導入されているでしょうか?
総合的な脅威対策のアプローチを採ることで、運用コストを合理化させながら同時にフィッシングのリスクを低減することができます。たとえば、 Forrester Total Economic Impact (Forrester による経済効果の分析)™ では、大規模な医療システム運営会社がデータ侵害リスクを 50% 以上低減し、年間2百万ドルを節約した事例が紹介されています。この会社は自動化機能により人員削減にも成功し、3年間でおよそ35万ドルを捻出しています。
ぜひレポートを無料でダウンロードして詳細をご確認ください。
Ponemon の調査から、フィッシング攻撃が組織の収益に与える影響には、攻撃者に吸い取られる被害だけではなく、従業員の生産性の低下や、技術チームにかかる負担、事業の混乱やデータ侵害の可能性が高まることなども含まれることが明らかとなりました。
Ponemon Institute の調査の全文を入手して、 ランサムウェア攻撃 が年間どの程度の損失につながるのか、また BEC の動向を把握するための詳細なデータについてご確認ください。 The 2021 Cost of Phishing Study (フィッシング攻撃による損失 2021レポート) をダウンロードしてご覧ください。