F-Secure(エフセキュア)は、8万人以上を対象にしたフィッシングメール演習に関するリサーチ結果を発表した。同調査には異なる業界の4つの企業から82,402人が参加。攻撃に使用されやすい4種類のフィッシング手法を模した電子メールに対して、どのような反応をするか検証したものだという。
その結果によると、人事部門を装ったメールや、請求書作成についてのメールが最も多くクリックされていることや、エンジニア層も他の一般社員と同程度またはそれ以上にフィッシングの罠に陥りやすいことがわかったとしている。
調査において最も高い割合でクリックされたのは、休暇取得に関する人事部門からの通知を模したメールで、受信者のうち22%が文中のリンクをクリックしたという。2番目に多くクリックされたのは、請求書の作成を依頼するメールで、受信者のうち16%がクリック。続いてドキュメント共有を模したメール (7%)、オンラインサービスからのサービス通知を装ったメール (6%) だとしている。
また、調査対象のうち2社では、IT/DevOps部門の社員がフィッシング演習メールをクリックした割合が、その企業の他部門と同等かそれ以上となったという。1社では全体でのクリック率が25%だったのに対してDevOps部門が26%、IT部門が24%と、ほぼ同程度。もう1社では全体が11%だったのに対し、DevOps部門が倍以上の30%、IT部門が21%だったとしている。
また、これらのテクニカル部門は他部署と比べ、フィッシングの疑いがあるメールの報告についても大きなアドバンテージを持っているとは言えないこともわかったという。1社では、IT部門とDevOps部門の不審メール報告能力は、9部門中でそれぞれ3位と6位。もう1社では、16部門中でDevOpsが11位、ITは15位にとどまったとしている。
同レポートでは、迅速かつシンプルな不審メール報告プロセスの価値も強調。フィッシング演習メールが受信ボックスに届いてから最初の1分間で、「不審である」と報告した社員の3倍以上もの社員がメール中のリンクをクリックしていた。この数字は、5分前後で横ばいとなり、その後も同じ傾向が続いているという。
また、時間の経過とともに不審メール報告も増加していく一方で、企業ごとに異なるプロセスが重要な役割を果たしたという。不審メールにフラグを立てるためのボタンを全社員のメールクライアントに搭載している企業では、受信者の47%が調査期間中にそのボタンを使用。他の2つの企業では、フィッシング演習メールを「不審である」と報告したのは、わずか13%と12%だったとしている。
【関連記事】
・エフセキュア、HPの多機能プリンター製品に脆弱性を発見 150種類以上の製品に影響か
・エフセキュア、BtoB市場向けに新ブランドを来年投入へ
・不審と報告されるメールの3分の1がフィッシングメール――エフセキュア調査
