Research: Simulated Phishing Tests Make Organizations Less Secure
2021/12/22 SecurityWeek — 56,000人の従業員を抱える組織で行われた、大規模かつ長期的なフィッシング実験の結果、驚くべき結論が得られた。企業のユーザー教育キャンペーンにおいて、よく見られるフィッシングの模擬テストは、実際には事態をさらに悪化させているというのだ。チューリッヒ工科大学 (ETH Zurich) の研究者たちは、無名のグローバル上場企業と共同で 15ヶ月間のフィッシング実験を行った。
その結果だが、フィッシングの模擬訓練を組み込んでも、従業員が電子メールによるマルウェアの誘いに強くなることはなく、さらに悪いことに、これまで以上に従業員がフィッシングに騙されるという、予期せぬ副作用が生じる可能性があることが発見された。
この画期的な実験結果は、スイスの公立研究大学である ETH Zurich の Department of Computer Science により、今週に発表された。この実験結果は、企業がユーザー教育キャンペーンにかける費用を、より拡大させることに疑問を投げかけている。このキャンペーンでは、フィッシング攻撃に関するシミュレーション/トレーニングビデオ/強制的なクイズを組み合わせている。
フィッシング攻撃からの解放を約束する新興企業に対して、投資家たちが資金を投じる一方で、企業の防御担当者は、マルウェアやランサムウェアの最初の侵入口となる、巧妙な悪意の電子メールをブロックするのに苦労している。何十年にも渡って、サイバー・セキュリティ予算にユーザーの意識向上トレーニングを加えてきた企業は、従業員たちに対して、疑わしいリンクや悪意の電子メール添付ファイルを見分けられるよう教育してきた。
そして、CISO (Chief Information Security Officer) は、ユーザー教育をサイバー攻撃対策の主要な優先事項として位置づけている。
今回の ETH Zurich の研究では、研究者が “潜在的な副作用 “を警告し、エンベデッド型のフィッシング演習やトレーニングなどの導入について注意を呼びかけていることから、この議論が再燃しそうだ。研究者たちは、15カ月間 (2019年7月〜2020年10月) に渡って、パートナー企業の従業員の 4分の1 に対して、通常の仕事の流れや状況の中で、模擬的なフィッシング・メールを送信する実験を行った。
研究者たちは、フィッシングの誘い文句によるクリック率/認証情報の送信/添付ファイルのマクロ有効化などを、注意深く測定した。 また、従業員が疑わしいメールをクリックして報告できるように、企業のメール・クライアントには報告ボタンを設置した。
この研究から得られた生のデータは、興味深いものだった。
- 調査対象者は、117,864通の疑似フィッシング・メールのうち、6,680通をクリックした (5.67%)。15ヶ月の間に、4,729人/14,733人 (32.10%) の参加者が、少なくとも1つのフィッシングをクリックしている。
- 危険な行為についても同様の傾向が見られたが、その数はやや少なかった。参加者は 4,885通のシミュレーション・フィッシング・メール (送信されたメール全体の 4.14%、クリックされたシミュレーション・フィッシングの 73.13%)に接触し、3,747人/14,733人 (25.43%) のユーザーが、少なくとも1つの危険な行為を行った。
- 調査参加者のうち、少なくとも1通のメールを報告したのは 4,260人だった。参加者は合計で 14,401通のメールを報告したが、そのうちの 11,035通は私たちがシミュレーションしたメールである。また、実験に参加していないが、フィッシングを報告可能な 6300人の従業員にも、フィッシングを報告するためのボタンが配布された。そのうち1,543人が、少なくとも1通の疑わしい電子メールを報告し、全体で 4,075通の電子メールを報告した。こうして、15ヶ月間に報告されたメールの総数は、18,476通になった。
また、複数のルアーメールの被害に遭う、リピート・クリッカーの存在も発見された。結論は、組織内の多くの従業員が、継続的にフィッシングにさらされるなら、いずれは引っかかるというものだ。
今回の実験では、14,733人中の 4,729人 (32.10%) の参加者が、シミュレーションしたフィッシング・メールのリンクや添付ファイルを、少なくとも1つはクリックしていたことが判明した。危険な行為についても同様に、高い数値が当てはまる。14,733人のうち 3,747人 (25.43%) が、少なくとも1つの危険行為を行っていた。
研究者たちは、「これらの結果は、全体的な従業員のうちの大多数が、十分に長い期間においてフィッシング・メールにさらされると、フィッシングに対して脆弱になることが示されている。このような結果を、大規模に示したのは我々が初めてだ」と付け加えている。
Zurich Information Security and Privacy Center (ZISC) の支援を受けた今回の調査では、大規模な組織において、クラウドソースによるフィッシング検知が、効果的かつ実用的であることも判明した。
この研究チームは、「我々の実験では、クラウドソースによるフィッシング検知により、組織にとって初めて見るような大規模なフィッシング・キャンペーンを、その開始から短時間で検知できることが示された。したがって、大規模な組織であっても、フィッシング・レポート処理の運用負荷を、小さく抑えることが可能になる」と指摘している。
同チームは、「我々の研究では、十分に多数の従業員たちが長期間にわたって、疑わしい電子メールを積極的に報告することも実証された。以上のことから、クラウドソースによるフィッシング検知は、多くの組織にとって実行可能な選択肢となることが示された」と付け加えている。
この記事を読む限りでは、さらに事態を悪化させる潜在的な副作用という部分が、あまり良くわかりません。それほど長いのでもないので、ETH Zurich の Phishing in Organizations: Findings from a Large-Scale and Long-Term Study を読んでみようと思っています。先日に、「ゼロトラストを成功させる秘訣:従業員を信頼することから考えるべきだ」という記事をポストしましたが、そこには「見知らぬ人から送られてきたファイルやリンクを開くことが仕事」という人もいると記されています。すべての人々に対して、同一のゼロトラストを強いるのも、トレーニングを強いるのも、何かしらの問題を含んでいると考えるべきなのでしょう。
IoT OT Security News 