プルーフポイント、フィッシング攻撃の現状を明らかにした年次レポート「2022 State of the Phish」を発表

2022年4月11日

2021年の脅威情勢の主流はメールベースの攻撃、
ハイブリッドな職場環境を保護するためにカスタマイズされた
セキュリティ意識向上トレーニングが引き続き重要と判明

サイバーセキュリティとコンプライアンス分野のリーディングカンパニーである日本プルーフポイント株式会社 (本社：東京都港区、代表取締役社長：茂木正之、以下プルーフポイント)は、年次レポートの最新版「2022 State of the Phish（フィッシング脅威の全容)」の日本語版を発表しました。本レポートは、企業のフィッシング体験を調査し、フィッシングに対するユーザーの意識、脆弱性、およびレジリエンス（回復力）について詳細に分析したものです。

本レポートでは、2021年の脅威状況は2020年よりも活発だったことが明らかにされています。調査結果では、2021年に78%の組織がメールによるランサムウェア攻撃を受け、77%がビジネスメール詐欺（BEC）に直面（前年比18%増）しています。また、サイバー攻撃者が技術的な脆弱性を通じてシステムにアクセスするのではなく、人々の脆弱性を用いて侵害することに注力していることが反映されていることが明らかにされました。

調査概要

今回の「2022 State of the Phish」年次レポートは、主要7カ国（日本、アメリカ、オーストラリア、フランス、ドイツ、スペイン、イギリス）における情報およびITセキュリティのプロフェッショナル600人を対象としたグローバルな委託調査、および同7カ国の成人労働者3,500人（各国500人）を対象とした委託調査の結果をまとめたものです。また、プルーフポイントの顧客企業・組織が従業員に送信したおよそ１億回のフィッシング攻撃シミュレーションデータと、フィッシング攻撃シミュレーションと同期間に報告されたエンドユーザーからのフィッシングメール報告（PhishAlarm Reportボタンを用いて報告）された約1,500万通以上のメールデータを分析しています。

主な調査結果

本レポートには、地域、業界、部門別のベンチマークデータが含まれており、サイバーセキュリティに対する「人」を中心にセキュリティを構築するPeople-Centricアプローチの必要性が強調されています。また、実際のフィッシング事例を取り上げ、コロナ禍で組織がおかれた状況の変化に対応したトレーニングソリューションの価値を説明しています。

2021年の攻撃は2020年と比べ、はるかに広い範囲に影響を及ぼし、調査回答者の83％が、自分の組織が少なくとも1回、メールによるフィッシング攻撃で被害を受けたことを明らかにしており、これは2020年の57%と比べて46％の増加となります。これに伴い、68％の組織が、メールに直接添付されるペイロードとしてのランサムウェア、攻撃の後続段階で配信されたランサムウェア、またはその他のエクスプロイトに起因するランサムウェア感染に少なくとも1回は対処したと回答しています。前年比の増加率は横ばいですが、2021年にランサムウェア攻撃が急増した際に組織が直面した課題を象徴しています。

2021年にはハイブリッドワークへのシフトが加速し、81％の組織が、新型コロナウイルスの影響により半数以上の従業員がフルタイムまたはパートタイムでテレワークを行っていると回答しています。しかし、テレワークのベストプラクティスについて従業員に教育しているのは37％に過ぎず、「ニューノーマル」な働き方に対して、セキュリティにおけるベストプラクティスの知識に憂慮すべきギャップがあることを示しています。例えば、97％の従業員が自宅のWi-Fiネットワークを利用していると回答していますが、ネットワークがパスワードで保護されていると回答したのはわずか60％に過ぎず、これは基本的なセキュリティ衛生(サイバーハイジーン)の大きな欠如と言えます。

世界における主な調査結果：

ランサムウェアに感染した回答者の約60％が身代金を支払った：データおよびシステムへのアクセスを回復するために、32％の回答者は追加の身代金も支払っている。約60％のうち、54%は最初の支払い後にデータ／システムへのアクセスが回復したが、4%は支払い後もデータ／システムへのアクセスが回復しなかった。10%は追加の身代金の支払いを拒否し、データは取り戻せなかった。
多くの従業員が危険な行為をとり、サイバーセキュリティにおけるベストプラクティスに従っていない：2021年には、42%が危険な行為（悪意のあるリンクのクリック、マルウェアのダウンロード、個人情報やログイン認証情報の公開）をとったと回答。また、雇用者支給デバイス（ラップトップ、スマートフォン、タブレットなど）にアクセスできる人の56％が、それらのデバイスを使ってゲームやメディアストリーミング、オンラインショッピングなどをすることを友人や家族に許可している。
主要なセキュリティ用語の認知度は、前年比で低下：「フィッシング」の定義を正しく認識できた回答者は、複数選択式で53%にとどまった。これは2020年の63%から低下し前年比減少率は16%となった。「マルウェア」の定義を認識したのは63％（2020年の65％から低下）、「スミッシング」の定義を認識したのはわずか23％（2020年の31％から低下）、「ビッシング」の定義を認識したのはわずか24％（2020年の30％から低下）だった。「ランサムウェア」は、全世界での認知度が上昇した唯一の用語で、正解率は2020年の33%と比べ、2021年には36%に上昇した。
プルーフポイントの顧客は、脅威がさらに活発化する中、フィッシング攻撃シミュレーションの回数を増やし、セキュリティ意識向上とセキュリティ行動において高い評価を獲得：12か月の測定期間中に、エンドユーザーに対してフィッシング訓練メールを実施し、攻撃シミュレーションの送信回数が2020年比で50%以上増加したにもかかわらず、平均不合格率は11%にとどまった。
従業員は、受信した不審なメールをより適切に報告できるようになった：1年間の測定期間中、ユーザーは35万通を超える認証情報のフィッシングメール、約4万通のマルウェアペイロードが含まれているメール、2万通を超える悪意あるスパムメールを検知し、情報セキュリティチームに報告した。

日本における主な調査結果：

日本の従業員の約69％が、1つ以上の個人所有デバイスを仕事関連の目的で使用している：これは世界平均を下回っている。54%が個人用携帯電話/スマートフォン、17%が個人用タブレットを業務で使用していると回答。雇用主が支給するデバイスの個人利用は全体的に減少しているが、友人や家族にアクセスを許可する意向が高まっている。日本の調査回答者の49%は、雇用者支給デバイスへのアクセスを他人に許可している。
日本の従業員の25％が2021年に危険な行為（悪意のあるリンクのクリック、マルウェアのダウンロード、個人情報やログイン認証情報の公開）を取ったと回答：これは世界平均の42％を下回り、全調査回答者の中で最も低い数値となっている。不審なウェブサイトにつながるメールのリンクをクリックしたのはわずか10％、誤って認証情報を漏洩させたのはわずか7％だった。
日本の従業員の24％がサイバー攻撃や詐欺を経験：そのうち8％は個人情報を盗まれた被害者で、6％は個人のデバイスやデータへのアクセスを回復するために身代金を支払った。
日本の組織の55％が、セキュリティ意識向上トレーニングによってフィッシングテストの不合格率が低下したと回答：これは調査対象国の世界平均を下回り、不合格率において最も低い数値を記録。
日本の組織は、流行している脅威を真似たフィッシングテストを活用する傾向：世界平均の53%と比べ、48%とやや下回るものの、フィッシングテストを活用する傾向が見受けられる。
2021年の脅威状況は、メールベースの攻撃が主流：2021年は、多くの日本の組織がバルクフィッシング攻撃（複数のユーザーに同じメールが送信されるもの)、BEC（ビジネスメール詐欺）、メールベースのランサムウェア攻撃に直面したと回答。
- 78%の組織が1つ以上の広範なフィッシング攻撃に直面
- 64%の組織が1つ以上のBEC（ビジネスメール詐欺）攻撃に直面
- 68％の組織が1つ以上のメールベースのランサムウェア感染を経験
2020 年よりも2021年のほうが攻撃の成功率があがっている：66%の日本の組織が2021 年にフィッシング攻撃で被害に遭っているが、調査対象国のなかではもっとも低い。ただし、2020 年よりも18% 高くなっている
国内組織の半数（50%）が、メールの直接ペイロード、後続段階のマルウェア配信、またはその他のエクスプロイトによるランサムウェア感染に少なくとも1回は対処したと回答：このうち、身代金の支払いを少なくとも1回選択したのは20%で、これは世界各国と比較すると最も低い。その内訳は、身代金を支払いデータ/システムに再度アクセスできるようになった（40%）、最初の身代金を支払い、その後の身代金を支払ってデータ/システムにアクセスできるようになった（20%）、最初の身代金は支払ったものの、それ以上の支払いを拒否し、データは回復できなかった（20%）となっている。
日本の組織では、攻撃が成功した場合の不利益が報告されている：フィッシング攻撃が成功した場合の影響として、顧客データの漏洩、ランサムウェア感染、アカウント漏洩などが報告されている。
2021年は、世界的にハイブリッドワークへのシフトが加速：日本ではフルタイムでテレワークを行っている従業員はわずか10％で、世界平均を大きく下回っている。そのため、日本の従業員の32％が、業務目的で１つ以上の電子デバイスを使用しているものの、雇用者支給の電子デバイスを利用していないと回答しています。
日本の組織は、従業員のサイバーセキュリティ教育に関して世界平均を下回る：組織内の全員にセキュリティ意識向上トレーニングを実施している日本の組織は49％で、世界平均の57％と比べ下回っている。しかし、日本の組織の47%はフィッシング攻撃シミュレーションを行っており、これは調査対象地域の中で最も高い数値となる。ただし、日本の組織は、この攻撃シミュレーションを毎日は行わない唯一の国で、週ごとに行う傾向がある。
日本の組織の44%（世界平均は55%）は、結果責任モデル（実際のフィッシング攻撃やフィッシング攻撃シミュレーションに応答することに対して従業員に懲罰を与えること）を採用：日本の組織で採用されている主な結果責任モデルの内容は、次のとおり：
- 45%の日本の組織が、毎年の業績評価に影響を与えると回答 (世界平均は52%)
- 5％の日本の組織が、金銭的な罰則を与えると回答（世界平均は26％）
- 9%の日本の組織が、実際の攻撃や攻撃シミュレーションに応答した従業員を解雇したと回答（世界平均は18%）

2021年ランサムウェア感染率（７か国比較）

2021年ランサムウェア身代金支払い率（７か国比較）

日本プルーフポイント株式会社　サイバーセキュリティエバンジェリストの増田幸美は次のように述べています。「2020年は変化に直面したときの即応性、2021年は自己防衛の必要性について学んだ年でした。情報セキュリティおよびIT担当者に対する今回の調査では、2020年と比べ2021年は、標的型攻撃の増加がみられました。ランサムウェアの感染率については、日本は2020年の54%と比べて2021年は4ポイントダウンの50%とそれほど大きな差異は見られませんでしたが、身代金の支払い率については、2020年の33%から2021年は20%とさらに低くなり、グローバル平均58%と比べて大きな違いが見られました。昨年2020年の7か国調査においても、日本はもっとも低い身代金の支払い率でしたが、2021年にはさらにその特徴が浮き彫りとなっています。一度身代金を支払う前例を作ってしまうと、サイバー犯罪者から再び狙われることも多いため、身代金支払いを選択しなかった組織が多いことは、評価に値するものです。またサイバー脅威が進化し、ハイブリッドワークがニューノーマルとなる中で、従業員が職場とプライベートの両方において新しいサイバースキルを学んで生かし、組織内でセキュリティ文化を醸成することが重要になります。従業員のセキュリティ意識の欠如やそれによる不注意な行動は、組織とその収益に大きなリスクをもたらします。2022年版のレポートでは、ユーザーのセキュリティ意識向上、リスクの軽減、人々の保護を目的とした実用的なアドバイスを提供しています」

「2022 State of the Phish」レポート（日本語版）は以下リンクよりダウンロードしてください：
https://www.proofpoint.com/jp/resources/threat-reports/state-of-phish

サイバーセキュリティ意識向上トレーニングに関しては以下をご覧ください：
https://www.proofpoint.com/jp/products/security-awareness-training

Proofpointについて

Proofpoint, Inc.は、サイバーセキュリティのグローバルリーディングカンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 1000の過半数を超える企業などさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。
詳細は www.proofpoint.com/jp にてご確認ください。