世界5,400名のIT専門家を対象とした独立調査に基づいた調査レポート「SOPHOS フィッシングインサイト 2021」を解説します。

出展：SOPHOS「フィッシングサイト2021ホワイトペーパー」

フィッシングとは何か？

フィッシング攻撃だと見なされるものには大きなばらつきがあります。一般的には、実在する企業（組織）のウェブサイトやメールを偽装して、クレジットカード情報やパスワードなどを入力させ個人情報を搾取する詐欺行為をさします。しかし46%のIT専門家は、企業の社長になりすまし経理担当に送金させたり、取引先企業を偽り請求書を送って金銭をだまし取る、ビジネスメール詐欺（BEC:Business Email Compromise）もフィッシングの一つであると回答しています。さらに、36％のIT専門家は、「スレッドハイジャック」手法による偽装攻撃もフィッシングであると考えています。この手口は、なりすます本人から盗んだメールを利用して正当なユーザーからの返信であるかのように見せかける高度な偽装メールによる攻撃です。

コロナ禍で、フィッシング攻撃が増加した要因と業種

コロナ禍で、フィッシング攻撃が増加した要因

• テレワークが急激に普及し、在宅での勤務環境がフィッシングに対する意識を低下させている。
• オンラインショッピングの急増により、宅配業者を装うフィッシング詐欺が増えた。
• 新型コロナウィルスの不安を煽り、それに便乗した偽装メールを送信することで、宛先などを確認せずにフィッシングメールを開く人が増えた。

コロナ禍でフィッシング攻撃が増えたと回答した業種

ランサムウェアインシデントの事例

大規模なランサムウェア攻撃がどのように始まったか？

SOPHOS『フィッシングサイト2021ホワイトペーパー』のダウンロードはこちらから
ソフォスは、ランサムウェアに関する調査を毎年実施しており、世界各国の中堅企業におけるランサムウェア攻撃の影響や対策の現状について、最新の知見を提供しています。また、攻撃の拡散状況や組織が受けた影響を調査し、前年と比較して傾向を特定しています。

フィッシング対策

90%の組織がサイバーセキュリティ意識向上プログラムを実行

• 90%の組織が、フィッシングに対処するためのサイバー意識向上プログラムを導入しています。
• 最も一般的なやり方はコンピュータベースのトレーニングで、58%の組織が使用しています。半数以上の53%が人間主導のトレーニングを使用し、43%がフィッシングシミュレーションを実施しています。16%の組織は、 3つの手法 (コンピュータベースのトレーニング、人間主導のトレーニング、フィッシングシミュレーション) すべてを意識向上プログラムで組み合わせています。
• フィッシングに対処するためのサイバーセキュリティ意識向上プログラムの実施に関しては、地方自治体 と中央政府などの政府機関の対応が遅れています。政府機関はサイバー攻撃の標的になることが多く、中央政府は恐喝型のランサムウェア攻撃を受ける可能性が高く、地方自治体はランサムウェア攻撃でデータを暗号化される可能性が高いです。

AIを搭載したSophos Emailによるフィッシング対策

• 高度な機械学習により、フィッシング詐欺師とBEC攻撃を特定
• 主要なフィッシングインジケーターをリアルタイムでスキャンすることで、ソーシャルエンジニアリングの手法をブロック
• 配信前および配信後の保護により、 悪意のあるリンクやマルウェアを阻止

Sophos Emailの詳細については、こちらから