フィッシング対策のコスト：IT／セキュリティ担当者の３割以上の時間が費やされる

Phishing Mitigation Can Cost Businesses More Than $1M Annually

2022/10/18 DarkReading — 依然として、フィッシングは主要な脅威であるだけではなく、企業にとって大きなコストとなっている。したがって、IT／セキュリティ担当者が充実している一部の大企業では、フィッシング攻撃を阻止するために、年間で $1.1 million を費やしていることが、新しいデータで明らかになった。

フィッシング関連のセキュリティ活動は、現時点において、IT／セキュリティ・チームが利用できる総時間の 3分の1 を消費していることが、新たなレポートで明らかになった。１通の悪質なメッセージの被害軽減に要する時間は平均約 27分であり、人件費は $31 だが、脅威の除去に60分を要した場合は $85.33 達することが判明している。

このコストと、フィッシングが成功した場合の影響 (アカウント情報の損失／ビジネスメールの漏洩／データの盗難など) を考慮すると、フィッシングをビジネスに対する極度の脅威だと捉えている企業は、全体の約3分の1に達すると、研究者はレポートに記している。このレポートはメールセキュリティ企業である Ironscales が委託し、Osterman Research が実施／執筆したものだ。

この状況が、すぐに改善されることはないだろう。脅威アクターたち者は、企業の従業員を引っかけるだけでなく、フィッシング・メールの検出を難しくするために、さらに巧妙なフィッシング・キャンペーンを仕掛けていると、研究者たちは述べている。

また、パンデミック時に生じたリモートワークへの移行により、フィッシングによる負荷は若干軽減され、2022年6月までの12ヶ月間で、この種のサイバー犯罪活動は減少した。しかし、フィッシングの脅威は、すぐに増加することが、研究者により明らかにされている。

企業は、差し迫った「より巧妙で悪質な」攻撃に、対処するための警戒を怠ってはならない。そして、今から準備を始めなければ、将来におけるフィッシングへの対処に、さらなる費用がかかることが予想される、と研究者は述べています。「現時点で、フィッシング対策に費やされている時間とコストは、組織が優れたフィッシング対策を講じないかぎり、増加することになる」と研究者は記している。

組織における負担

このレポートのために、2022年6月に Osterman Research は、米国の IT／セキュリティ専門家 252人を対象に調査を行い、組織におけるフィッシングへの対処方法と、その影響について様々な質問を投げかけた。

調査員たちは、フィッシングへの対応に費やされる時間や費用など、企業が実際に負担しているビジネス・コストの定量化を試みた。その結果として、フィッシング対策には多大な投資が必要であり、スタッフの数が多いほど、また受信するフィッシング・メールの数が多いほど、そのコストは指数関数的に上昇することが判明した。

現在のセキュリティ環境では、電子メールにキャッシュされるフィッシングの量は驚異的なものとなり、大規模な組織では１日で数千のフィッシング・メールを受信していると。研究者たち述べています。彼らは、「明らかに、どの組織も、一通のフィッシング・メールだけに対処する必要がないのは明らかだ。しかし、毎日のように、世界中で数十億通のフィッシング・メールが送信され、電子メール全体の量に占めるフィッシングは割合は極めて大きい」と述べている。

失われた時間と費用

研究者たちによると、調査対象となった組織の 70％ が、１通のフィッシング・メールに対して 16分～60分 の時間を費やすと回答している。この数値は、悪意の可能性のあるメールを発見した後に、環境から完全に排除するまでの時間を表している。

平均すると、大半の組織が、フィッシング・メールへの対策に約31〜45分を費やしており、回答者の 29% が似たような時間を報告している。回答者たちによると、IT／セキュリティ・チームが使える労働時間の 3分の1が、フィッシング関連の対応に費やされているという。

さらに、調査員たちは、フィッシング対策に費やされる個人の給与などの要因を考慮し、それぞれの組織におけるフィッシング対策に関連する、実際のコストを定量化しようと試みた。その結果、IT／セキュリティの専門家一人当たりの給与と福利厚生にかかる費用は、年間平均で $45,726 になることが判明した。

このコストは、IT／セキュリティ専門家の人数により、指数関数的に上昇すると研究者は述べている。たとえば、専門家が５人の組織では、フィッシングに対処するために支払われる年間給与は $228,630 にいたり、専門家が25人の組織では $1.14 million になるという。

進化する戦術

フィッシングの脅威が巧妙になってきたことは、セキュリティの現状を知る者にとっては当然の事実である。そのため、サイバー犯罪者は、さらに巧妙な回避策という手口へと移行し、成功を収めている。

回答者の半数は、こうした手口を明示する意味で、現在の企業内で表面化しているフィッシング・メールにおける３つの特徴を、最も懸念すべきものとして挙げている。

１つ目は、適応型技術 (ポリモーフィック攻撃とも呼ばれる) の使用であり、フィッシング・メッセージとして検出される可能性を低くするために、それぞれのフィッシング・メッセージを少しずつ変化させていると研究者は述べている。これらのメッセージに対しては、シグネチャなどの既知の識別子を使用して照合するのではなく、1つずつ評価する必要があるため、対策が難しくなっていると述べている。

２つ目は、以前のフィッシング攻撃で入手したアカウント情報や、ダークウェブで購入した漏洩アカウント情報を悪用して、現在のメールスレッドを脅威アクター乗っ取り、さらにフィッシング・メールを送信する手口だ。これらのメッセージは、組織内のメール・インフラから送信されるため、検知を回避する可能性が高く、メッセージが外部から発信された場合でも、評価のための脅威シグナルが大幅に除去されると、研究者は指摘している。

３つ目は、ペイロードやリンクの脅威を入れ子にして、最初は良性として表示し、その後にダウンロードを実施するという、高度な難読化技術の使用である。そのため、フィッシング対策においては、悪意の可能性のあるメールに対して、さらなるフラグを立てるという努力が必要になると、研究者は述べている。

Microsoft Teams と Slack

回答者の少なくとも半数が、自社の環境における新たなフィッシング・トレンドとして、コミュニケーション・ツールやコラボレーション・ツールへの攻撃の広がりを指摘している。最も一般的かつ新しい攻撃経路は、メッセージング・アプリ／Microsoft Teams／Slack などの、クラウドベースのファイル共有プラットフォームであると、研究者は述べている。

研究者たちは、「これらの新しいツールへとフィッシングが広がり、アカウント認証の侵害によるインシデントが多発しているため、IT／セキュリティ専門家は、この種の脅威の撲滅に多くの時間を費す必要があるだろう」と述べている。

したがって、企業にとって重要なことは、サイバー・セキュリティ・スタッフを解放し、より戦略的な取り組みに集中させるために、差し迫ったフィッシング攻撃の急増に対して先手を打つべきだと、研究者は結論づけている。

具体的には、「より多くのフィッシング攻撃を検知／阻止し、高度なポリモーフィックやネスト化された脅威を検知し、電子メールのみの保護にとどまらず、総合的なソリューションにより、コミュニケーション・ツールやコラボレーション・ツールを保護する、より高性能なソリューションを探すべきだ」とアドバイスしている。

この記事のハイライトは、大半の組織におけるフィッシング・メールへの対策として１通あたり約 31分〜45分が費やされ、回答者の 29% が似たような時間を報告しているという点です。また、IT／セキュリティ・チームが使える労働時間の 3分の1が、フィッシング関連の対応に費やされていることにも注目です。そして、「差し迫ったフィッシング攻撃の急増に対して先手を打つために、サイバー・セキュリティ・スタッフを解放して、より戦略的な取り組みに集中させるべきだ」と提言しています。Phishing-as-a-Service で検索すると、その背景にある、フィッシング・キャンペーンのコモディティ化が見えてくると思います。Osterman Research の The Business Cost of Phishing も、ぜひ ご参照ください。