EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

フィッシング攻撃の定義について共通理解が得られず――ソフォス調査

  2021/09/28 20:17

 ソフォスは、「Phishing Insights 2021(2021年版フィッシングの動向調査)」を公開した。

 本調査から、パンデミック時に在宅で仕事をする何百万人もの従業員がサイバー犯罪者の格好の標的となっていることやフィッシング攻撃が大幅に増加したことが明らかになったとしている。日本のITチームの過半数(60%)が、2020年には従業員を標的としたフィッシングメールが増加したと回答しているという。

同主任リサーチサイエンティスト Chester Wisniewski氏のコメント

 フィッシングは25年以上前から存在し、今もなお有効なサイバー攻撃の手法の1つです。フィッシングが成功している理由の1つは、新型コロナウイルスなど多くの人にとって関心の高い問題に便乗したテーマを悪用し、人間の感情や信頼を巧みに利用して、常に進化し多様化する能力をもっていることです。企業は、フィッシング攻撃を比較的低いレベルの脅威と見なしがちですが、それではその威力を過小評価することになります。フィッシングは多くの場合、多段階にわたる複雑な攻撃の第一段階で利用される手段です。Sophos Rapid Responseによると、攻撃者はユーザーを騙してマルウェアをインストールさせたり、企業ネットワークにアクセスするための認証情報を提供させたりするためにフィッシングメールを使用しています。

 今回の調査では、フィッシングの定義について共通の理解が得られていないことも明らかになったとしている。たとえば、日本のITチームの52%は、フィッシングとは実際の企業になりすまして脅威をもたらしたり、情報を提供するように持ち掛けたりするメールであると認識。42%のチームは、BEC攻撃(ビジネスメール詐欺)をフィッシングだと考えており、3分の1(31%)はスレッドハイジャック(攻撃の一環として正規のメールスレッドに攻撃者のメールを挿入すること)をフィッシングだと考えているという。

 また、日本では多くの組織(75%)がフィッシング対策としてサイバーセキュリティ意識向上プログラムを実施。調査対象となった組織は、コンピュータベースのトレーニングプログラム(44%)、インストラクターによるトレーニングプログラム(41%)、フィッシングシミュレーション(41%)を使用していると回答した。

 先述のWisniewski氏は、「フィッシングメールが標的のユーザーに配信されることがないようにすることが理想です。優れた効果を発揮するメール・セキュリティ・ソリューションを使用すれば、この理想の実現に近づくことができますが、このソリューションを補完するためにも、不審なメッセージを事前に発見して報告できるようにトレーニングを受けた従業員による警戒が大切です」と述べている。

【関連記事】
ソフォス、東京にデータセンターを開設 国内でのデータ管理・利用が可能に
ソフォス、Refactr買収でサイバーセキュリティプラットフォーム自動化を加速
ソフォス、Braintrace買収でサイバーセキュリティ・エコシステムを強化

関連リンク

著者プロフィール

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。


All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5