2019年には、組織のほぼ90%がビジネスメール詐欺（BEC）とスピアフィッシング攻撃を受けました

本リリースは、英語版プレスリリース「https://www.proofpoint.com/us/newsroom/press-releases/proofpoints-state-phish-report-stresses-need-user-training-and-email」の抄訳です。

2020年1月23日 カリフォルニア州サニーベール - サイバーセキュリティとコンプライアンスのリーダー企業であるProofpoint, Inc.（NASDAQ：PFPT）は本日、第6回目となる年次State of the Phishレポートを発表しました。このレポートはグローバルな調査に基づき、エンドユーザーのフィッシングの認知度、脆弱性、レジリエンス（回復力）についての詳細な情報を提供します。主な調査結果としては、調査対象のグローバル組織の90%近くがビジネスメール詐欺（BEC）およびスピアフィッシング攻撃の標的となったことが挙げられており、これはサイバー犯罪者が引き続き個々のエンドユーザーの侵害に注力していることを反映しています。また調査対象組織の78%が、セキュリティ意識向上トレーニングによってフィッシング攻撃に対する耐性が大幅に向上したと回答しました。

Proofpointが毎年発表しているState of the Phishレポートは、Proofpointのお客様が1年間に送信した約5,000万件のフィッシング攻撃シミュレーションに関するグローバルなデータと、米国、オーストラリア、フランス、ドイツ、日本、スペイン、英国の600人以上の情報セキュリティ専門家からの第三者調査への回答を分析しています。またレポートでは、同じ7か国の3,500人以上の社会人の基礎的なサイバーセキュリティの知識も分析しています。

Proofpointのセキュリティ意識向上トレーニング担当上級副社長兼ゼネラルマネージャーであるJoe Ferraraは、「効果的なセキュリティ意識向上トレーニングは、組織のミッションに最も重要な課題と行動にフォーカスしなければなりません。」と述べています。「組織全体の意識向上トレーニング活動を標的型で脅威主導型の教育と融合させることにより、サイバーセキュリティに対する人々中心のアプローチを取ることを推奨します。その目標は、ユーザーが攻撃を認識してそれを報告できるようにすることです。」

今年のレポートでは、エンドユーザーの適切な行動を評価するための重要な指標である、従業員による不審なメールの報告数についても検証されています。不審なメッセージの報告数は前の年に比べて大幅に増加し、2019年は900万件を超えました。これは2018年に比べて67%の増加です。Proofpointの脅威インテリジェンスは、全体的なトレンドとして不特定多数を狙うバルクキャンペーンから標的を絞りパーソナライズされた攻撃に移行していることを示しており、報告数の増加は情報セキュリティチームにとっても朗報です。洗練されたフィッシングルアーを見分けるために、ユーザーの警戒をさらに強める必要があります。また、ユーザーが不審なメールを報告できるメカニズムによって、境界型の防御システムを回避する潜在的に危険なメッセージを情報セキュリティチームに警告することができます。

State of the Phishレポートの調査結果には、次のようなことも含まれています。また、北米、EMEA、およびAPACなどの地域的な詳細についても、レポート内で詳しく説明されています。

• 調査対象組織の半数以上（55%）が、2019年の間に少なくとも1回の成功したフィッシング攻撃を経験しています。また情報セキュリティの専門家は、さまざまな方法によるソーシャルエンジニアリングの試みが頻繁に行われていると報告しました。世界中の組織の88%がスピアフィッシング攻撃に遭ったと報告しており、86パーセントがBEC攻撃、86パーセントがソーシャルメディア攻撃、84パーセントがSMS/テキストフィッシング（スミッシング）、83パーセントが音声フィッシング（ビッシング）、そして81パーセントが悪意のあるUSBドロップを経験しました。
• 調査対象の情報セキュリティ専門家の65%が、2019年にランサムウェアの感染を経験したと回答しています。33%が身代金の支払いを選択しましたが、32%は支払いませんでした。攻撃者と交渉した回答者のうち、9%が再度ランサムウェアに狙われ、22%が身代金を支払ったにも関わらずデータにアクセスできませんでした。
• 組織は結果責任モデルの恩恵を受けています。世界的には、組織の63%がフィッシング攻撃への対応で繰り返しミスを犯しているユーザーに対して是正措置を講じています。情報セキュリティの回答者の大部分は、結果責任モデルの摘要後、従業員の意識が向上したと述べました。
• 社会人の多くは、サイバーセキュリティのベストプラクティスに従っていません。45%の人はパスワードを使い回していることを認めており、50%以上はホームネットワークをパスワードで保護しておらず、90%は会社支給のデバイスを個人的な活動に使用していると答えています。さらに、社会人の32%が仮想プライベートネットワーク（VPN）サービスを知りませんでした。
• 多くのユーザーには、基本的なサイバーセキュリティ用語の知識が不足しています。今回のグローバル調査では、社会人にフィッシング（61%正解）、ランサムウェア（31%正解）、スミッシング（30%正解）、およびビッシング（25%正解）などのサイバーセキュリティ用語の定義を回答するように依頼しました。これらの調査結果は、一部のユーザーにおける知識の不足と、これらの脅威について従業員を教育しようとするセキュリティチームとの間に潜在的な用語上の障壁が存在することを浮き彫りにしました。組織はユーザーとの効果的なコミュニケーションを心がけ、彼らが組織にとっての強力な最終防衛線となるように育てることが重要です。
• ミレニアル世代は、基本的なフィッシングやランサムウェアの認知において他の年齢層を下回っています。これは、若い世代といえども、サイバーセキュリティの脅威を生まれつき理解しているわけではないことを示しています。ミレニアル世代の認知が最も高かった用語はたった一つ、「スミッシング」でした。

State of the Phish 2020レポートをダウンロードし、  グローバルな比較の全リストを参照するためには、https://www.proofpoint.com/jp/resources/threat-reports/state-of-phishにアクセスしてください。

サイバーセキュリティ認識のベストプラクティスとトレーニングの詳細については、https://www.proofpoint.com/jp/product-family/security-awareness-trainingをご覧ください。

Proofpointについて

Proofpoint, Inc.（NASDAQ：PFPT）は、組織にとって最も重要な資産であり最大のリスクでもある「人」を保護する、サイバーセキュリティおよびコンプライアンスにおける主導的企業です。Proofpointはクラウドベースのソリューションを統合しており、これにより世界中の企業が標的型の脅威を阻止し、データを保護し、サイバー攻撃に対するユーザーの耐性を高めることができます。Fortune 1000企業の半数以上を含むあらゆる規模の企業がProofpointを採用しており、電子メール、クラウド、ソーシャルメディアそしてWebを横断して、最も重要なセキュリティとコンプライアンスのリスクを軽減しています。

詳細についてはwww.proofpoint.com/jpをご覧ください。

© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります。

www.proofpoint.com/jp