プルーフポイントの年次レポート「2024 State of the Phish」で、日本の従業員の46%がリスクを知りつつも危険な行動をとっていることが明らかに
人を中心とした脅威が組織に影響を与え続けているにも関わらず、日本はもっとも人的リスクの可視化ができていない
2024年2月27日(カリフォルニア州サニーベール) -- サイバーセキュリティとコンプライアンス分野のリーディングカンパニーであるプルーフポイントは、第10回目となる年次レポートの最新版「2024 State of the Phish」(英語版)を発表しました。本レポートは、危険な行動や現実世界の脅威および人を中心としたサイバーセキュリティ時代におけるユーザーのレジリエンスを詳細に調査したものです。世界の従業員の3分の2以上(71%)が故意に組織を危険にさらし、ランサムウェアやマルウェアの感染、データ漏洩、財務上の損失につながる可能性があることを明らかにしました。また、日本の調査対象組織の36%(世界平均:68%)が2023年に少なくとも1回のフィッシング攻撃の被害にあっています。前年の60%と比べると、フィッシング攻撃の成功率は低下しているものの、フィッシング攻撃の被害がでた組織のうち、ランサムウェアの感染を引き起こされた組織が56%にのぼっています。
今年のレポートで明らかになったことは、サイバーセキュリティに関する知識が不足しているために人々が危険な行動をとり、セキュリティ意識向上トレーニングだけで危険な行動を完全に防ぐことができるという従来の考え方が大きく覆されたことです。この難問は、「ほとんどの従業員は自分が組織を守る責任があることを知っている」というセキュリティ担当者の考えにも及んでおり、個々のセキュリティ技術の限界とユーザー教育との間にギャップがあることを示しています。
調査概要:
今回の「2024 State of the Phish」年次レポートは、生成AI、QRコード、多要素認証(MFA)が悪意のある攻撃者に悪用されているといった現在の脅威の状況を、プルーフポイントが世界中の23万組織でスキャンした2兆8,000億通を超えるメールのテレメトリおよび1年間に送信された1億8,300万通のフィッシング攻撃のシミュレーションから得られた知見に基づいて詳細に解説しています。また、本レポートでは、日本を含む主要15カ国(日本、アメリカ、韓国、シンガポール、オーストラリア、カナダ、ブラジル、フランス、ドイツ、イタリア、スペイン、イギリス、オランダ、スウェーデン、アラブ首長国連邦)における7,500人の従業員と1,050人のITおよびセキュリティ担当者の認識も調査しており、セキュリティに対する意識が実際の行動にどのように現れているか、また、私たちが好むスピードと利便性を利用する新たな方法を攻撃者がどのように見出しているか、さらに、セキュリティ意識向上への取り組みの現状も明らかにしています。
日本における主な調査結果:
セキュリティに対する意識が低いから従業員が危険な行動をするわけではない:
日本の従業員の47%(世界平均:71%)が、パスワードの再利用や共有、未知の送信者からのリンクのクリック、信頼できない送信元への認証情報の提供など、リスクのある行動を取っていることを認めています。そのうち98%(世界平均:96%)は、内在するリスクを承知の上でそのような行動をとっており、つまり46%(世界平均:68%)の従業員が進んで組織のセキュリティを損なっていることになっています。危険な行動の動機はさまざまで、ほとんどの日本の従業員は利便性(54%)、時間の節約(34%)、緊急性(19%)を主な理由として挙げています。
IT チームと従業員の間には、現実的な行動変容を促すための乖離がある:
日本のセキュリティ担当者の 80% (世界平均:85%) が、ほとんどの従業員は自身にセキュリティの責任があることを知っていると回答しました。実際の行動変容を促すためには何が効果的かという考えについては、セキュリティ担当者と従業員の間に明確な格差があります。日本のセキュリティ担当者は、ポジティブな行動に対するリワード(100%)、トレーニングの強化(75%)、経営陣のセキュリティへの取り組み強化(75%)が解決策だと考えていますが、調査対象となった大半の従業員(88%)は、セキュリティが簡素化されより使いやすくなれば、セキュリティを優先すると回答しています。
多要素認証(MFA)は誤った安全性を提供し続け、企業を無防備な状態にしている:
MFAをバイパスするフレームワークEvilProxyを使った攻撃が毎月100万件以上行われているにもかかわらず、日本のセキュリティ担当者の84%(世界平均:89%)はいまだにMFAがアカウント乗っ取りを完全に防いでくれると信じていることは、憂事です。
ビジネスメール詐欺(BEC)攻撃はAIの恩恵を受ける:
メール詐欺を報告する組織は世界的に減少しましたが、日本(62%、前年より12ポイント増)においては攻撃件数が増加しました。日本や韓国、アラブ首長国連邦においては、文化や言語の障壁により、以前はBEC攻撃が少なかった可能性がありますが、生成AIにより、攻撃者はより説得力のあるパーソナライズされたメールを多言語で作成できるようになりました。プルーフポイントでは、毎月平均6,600万件の標的型BEC攻撃を検出しています。
サイバー恐喝は儲かる攻撃形態として根強い:
過去1年間にランサムウェアの感染を経験した日本の組織は38%(世界平均:69%)で、(前年比30ポイント減)でした。ランサムウェア攻撃の影響を受けた組織のうち、32%(世界平均:54%)が攻撃者への支払いに同意し(前年の18%から増加)、1回の支払い後にデータへのアクセスを回復したのは、わずか17%(世界平均:41%)と、前年の50%から減少しました。
サポート詐欺(TOAD)が依然として盛ん:
サポート詐欺は、初めは電話番号および誤った情報が記載されただけの無害なメッセージに見えますが、無防備な従業員が偽のコールセンターに電話をかけることにより攻撃チェーンが起動し、結果的に認証情報を提供したり、悪意のある攻撃者にリモートアクセスを許可したりしてしまいます。プルーフポイントでは、月平均1,000万件のTOAD攻撃(攻撃者が偽の「コールセンター」になりすまして電話で直接会話を始め、受信者を扇動するメール)を検出しており、最近のピークは2023年8月で、1,300万件のインシデントが発生しました。
ランサムウェア攻撃、TOAD攻撃、MFAバイパスなどの脅威が顕著になり、高度化しているにもかかわらず、多くの組織はそれらに対処するための準備や訓練が十分ではありません。TOAD攻撃を認識し、防止する方法についてユーザーを教育している日本の組織はわずか12%(世界平均:23%)で、生成AIの安全性について従業員を教育している組織はわずか20%(世界平均:23%)に過ぎません。
プルーフポイント米国本社のサイバーセキュリティ戦略チーフオフィサー、Ryan Kalember(ライアン・カレンバー)は次のように述べています。「サイバー犯罪者は、過失や身元情報の漏洩、場合によっては悪意によって、人が簡単に悪用されてしまうことを知っています。個人は組織のセキュリティ体制において中心的な役割を担っており、侵害の74%は依然として人の要素が中心となっています。セキュリティ文化の醸成は重要ですが、トレーニングだけでは特効薬にはなりません。何をすべきかを知ることと、それを実行することは別物です。今、課題となっているのは、意識向上だけでなく、行動変容なのです」
日本プルーフポイント株式会社 チーフ エバンジェリストの増田 幸美は次のように述べています。「サイバー攻撃のほとんどが人的要素に起因するにも関わらず、日本においては調査組織のうち半数以下しか人的リスクを可視化できていませんでした。これは調査15か国中最下位に位置します。またサプライチェーンが複雑な日本においては、取引先や業務委託先のセキュリティリスクを高く感じている企業が他国に比べて多いことも判明しました。サプライチェーンの最も弱いところから侵入された攻撃が広くサプライチェーン全体に影響することを認識し、セキュリティレベルの底上げをサプライチェーン全体でおこなうことが必要です」
「2024 State of the Phish」レポート(英語)は、以下リンクよりダウンロードしてください:
https://www.proofpoint.com/us/resources/threat-reports/state-of-phish
行動変容を促す方法など、サイバーセキュリティ意識向上トレーニングに関しては以下をご覧ください:
https://www.proofpoint.com/jp/products/security-awareness-training
Proofpoint | プルーフポイントについて
Proofpoint, Inc.は、サイバーセキュリティのグローバルリーディングカンパニーです。組織の最大の資産でもあり、同時に最大のリスクともなりえる「人」を守ることに焦点をあてています。Proofpointは、クラウドベースの統合ソリューションによって、世界中の企業が標的型攻撃などのサイバー攻撃からデータを守り、そしてそれぞれのユーザーがサイバー攻撃に対してさらに強力な対処能力を持てるよう支援しています。また、Fortune 100企業の85%を含むさまざまな規模の企業が、プルーフポイントのソリューションを利用しており、メールやクラウド、ソーシャルメディア、Web関連のセキュリティのリスクおよびコンプライアンスのリスクを低減するよう支援しています。詳細は www.proofpoint.com/jp にてご確認ください。
Twitter : https://twitter.com/proofpointjpn
Facebook : https://www.facebook.com/proofpointjpn/
YouTube : https://www.youtube.com/user/ProofpointJapan
© Proofpoint, Inc. Proofpointは米国及びその他の国々におけるProofpoint, Inc.の商標です。本ドキュメントに記載されている会社名、製品名、サービス名は、一般に各社の登録商標または商標です。本ドキュメントの記載内容、製品及びサービスの仕様は予告なく変更されることがあります。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像