2019 State of the Phish Report: ソーシャルエンジニアリング攻撃とアカウント侵害が急増

January 31, 2019
Gretel Egan

本ブログは、英語版ブログ「https://www.proofpoint.com/us/corporate-blog/post/2019-state-phish-report-attack-rates-rise-account-compromise-soars」の翻訳です。

Proofpointが年に一回発表している「State of the Phish Report」の最新版(第5号)が完成しました。State of the Phish Reportは、フィッシングの脅威における3つの重要な要素(基本的なサイバーセキュリティコンセプトについてのエンドユーザーの理解度、情報セキュリティの観点から見たソーシャルエンジニアリングの脅威とその影響、セキュリティ意識向上トレーニングによってエンドユーザーのリスクを適切に管理する方法)についての知見を提供します。

今年のレポートは、3つの主要な情報源からのデータを元に作成されました。

  • 主要7カ国(アメリカ、オーストラリア、フランス、ドイツ、イタリア、日本、イギリス)で働く成人7,000人以上を対象とした5つの質問からなる第三者による調査。
    質問は、エンドユーザーがフィッシング、ランサムウェア、vishing(voice phishing)、smishing(SMS/text phishing)などのサイバーセキュリティ用語をどの程度理解しているかを明らかにするよう設計されています。
  • 2018年中、四半期ごとにProofpointが持つ情報セキュリティの専門家のデータベース(顧客及び非顧客)宛てに送信された調査への約15,000件の回答。
  • Proofpointの顧客が1年間(2017年10月から2018年9月まで)にエンドユーザーに送信した、数千万件の疑似フィッシング攻撃から得られたデータ。 

以下に、今年のレポートから3つのポイントをご紹介します。

ポイントその1:ソーシャルエンジニアリング攻撃が全体的に増加

調査回答者の83%が2018年にフィッシング攻撃を受けたと回答しており、2017年の76%から増加しました。しかしフィッシング攻撃だけが増えているわけでは無く、調査回答者によれば、あらゆるタイプのソーシャルエンジニアリング攻撃が年々増加しているということです:

USBドロップ(マルウェアを仕込んだUSBメモリを落としておき、拾った人がPCに指すのを待つ)という攻撃が増えています。最新の研究成果によると、USBデバイスを悪用する攻撃が29種類もあるということです。エンドユーザーは、拾ったような出所不明のデバイスでも信頼してしまう可能性が高いことに留意すべきです。特に、エンドユーザーへの教育を行っていない場合には、さらなる注意が必要です。まだそれほど多くはありませんが、こういった攻撃を経験した組織は増加しており、今後さらに増えるかも知れません。サイバー犯罪者は粘り強く、エンドユーザーの行動を悪用するためにすべての可能性を利用しようと狙っています。

ポイントその2:クレデンシャル侵害は2016年以降急増している

毎年、情報セキュリティの専門家にフィッシング攻撃が及ぼした被害について質問していますが、今年は興味深い傾向が見られました。フィッシング攻撃が成功したことで起きた被害で最も多かったものとして、アカウント侵害がマルウェア感染を上回ったのです。

2018年に侵害されたアカウントは、2017年よりも70%、2016年からは280%も増加していると報告されています。そして、情報セキュリティ関係者からの回答は、クレデンシャルベースのフィッシングが増加していることを示していますが、これはProofpointの研究者が2018年半ばの「人を保護する」レポートでも指摘していました。

興味深いことに、データ入力スタイルの擬似フィッシング攻撃(ログイン名、パスワード、またはその他の機密データの送信をユーザーに促すことでクレデンシャルフィッシングを模倣する)を教育の一環としている組織はほとんどありませんでした。情報セキュリティチームは、クレデンシャルフィッシング攻撃に対する防御を強化するために、これらの種類のフィッシングテストを使用すべきです。ひとつのクレデンシャルが漏洩することで、複数の機密コンテンツへのアクセスが可能になる場合が多いのです。

ポイントその3:フィッシングおよびランサムウェアという専門用語の理解において、54歳以上のベビーブーマー世代が他のすべての世代を上回る

全体的に見ると、多くの社会人はフィッシングやランサムウェアのような用語にまだ馴染みがありません。そして馴染みが無いという事は、セキュリティ意識向上のためのトレーニングへの取り組みに悪影響を及ぼす可能性があることで、情報セキュリティチームはそれを認識すべきです。

特に、世界の労働力の中で重要な役割を果たしているミレニアル世代(22-37歳)の他の世代との違いについて指摘しておきたいと思います。一般的には、これらの「デジタルネイティブ」世代は、サイバー空間に詳しいためデジタルリスクに対する意識が高く、サイバーセキュリティのベストプラクティスを理解していると認識されています。

しかし残念なことに、サイバー空間に高い満足度を感じることが、サイバーセキュリティについての正しい理解に繋がっていないことが明らかになりました。私たちが尋ねたすべての質問で、ミレニアル世代は他の世代の値を大きく下回りました。

State of Phishingレポートをダウンロードして詳細をご確認下さい

Proofpointのセキュリティ意識向上トレーニング担当ゼネラルマネージャであるJoe Ferraraは、「電子メールはサイバー攻撃において最も多いベクター(侵入経路)であり、現代のサイバー犯罪者は組織内で高いアクセス権を持っていたり、機密データの取り扱いを行っていたりするなどの高い情報価値を持つ個人を標的としています。」と述べています。「これらの脅威の規模と巧妙さは増しており、組織はセキュリティ意識向上のためのトレーニングを急ぐべきです。サイバーセキュリティのベストプラクティスについて従業員を教育し、エンドユーザーを侵害しようとする脅威アクターに対抗するために、人中心のセキュリティ戦略を確立することが重要です。」

Proofpointのグローバルな調査結果(地域間のデータ比較を含む)の詳細をご覧になるには、「2019 State of the Phish Report」をダウンロードしてください。16の業種に跨がるユーザーが疑似フィッシング攻撃によるテストをどのように実行しているか、また、組織が脅威インテリジェンスとセキュリティ意識向上トレーニングのデータを使用してセキュリティ上の弱点を特定し、組織を危険に晒しているユーザーや部門にどのように対処しているかを詳細に解説しています。