Email の悪夢 2023:ユーザー組織の 94% がメール・フィッシング攻撃に悩まされている

Email Nightmare: 94% of Firms Hit by Phishing Attacks in 2023

2024/01/16 InfoSecurity — セキュリティ・プロバイダ Egress によると、2023年のサイバー・セキュリティの意思決定者の 94% が、フィッシング攻撃への対処が必要であったことで、E メール・セキュリティはセキュリティ専門家にとって最重要課題であったという。Egress の Email Security Risk Report 2024 によると、この数値は前年と比べて 2% 増加しているようだ。2023年を通して使用されたフィッシング手法の Top-3 は、悪意の URL/マルウェアやランサムウェアの添付ファイル/侵害されたアカウントから発信される攻撃である。

さらに、フィッシング脅威アクターたちは効率化を達成しており、標的とされる組織の 96% が、攻撃による悪影響を受けている。

たとえば、2023年には 58% の組織が、アカウント乗っ取りの被害に遭っているが、そのうちの 79% は、フィッシングにより不正に取得された認証情報が要因だとしている。

Egress の VP of Threat Intelligence である Jack Chapman は、「ユーザー組織が直面し続けているのは、高度なフィッシング攻撃/ヒューマンエラー/データ流出であり、新たな傾向を分析することが防御を強化する鍵になるだろう」とコメントしている。

AI を活用した電子メールの脅威が迫る

このレポートが示唆しているものには、サイバー・セキュリティのリーダーたちが、ビジネスにとっての深刻な懸念を、フィッシングがもたらしているという認識がある。なんと、95% が電子メールのセキュリティにストレスを感じていると回答しているのだ。

また、大規模言語モデル (LLM) などの新たな AI ツールが、ディープフェイクなどを用いるフィッシング攻撃に利用される点についても、セキュリティ・リーダーたちは注意深く監視している。回答者の 63% がディープフェイクに対して、また、61% が AI チャットボットに対して、強い懸念を示しているという。

Jack Chapman は、「E メール・セキュリティは、壊れていなければ直さなくて良いという類のものではない」と述べている。

さらに、多数のサイバー・セキュリティ・リーダーたちが、電子メール・ベースの攻撃に対するサイバー・セキュリティ防御に対して、効率面において疑問を提起している。SEG (security email gateway) を使用しているリーダーたちのうち、91% が不満を示し、87% が交換を検討しているか、すでに交換済みであると回答している。

Cybersecurity leaders' responses about whether they are considering replacing their security email gateway. Source: Egress
Cybersecurity leaders’ responses about whether they are considering replacing their security email gateway. Source: Egress
従業員はミスの代償を支払う

この、リーダーたちのフラストレーションは、時に従業員にも伝わり、また、厳しい対応へとつながるケースもある。この調査によると、フィッシング攻撃に騙された従業員のうち、51% が懲戒処分を受け、39% が解雇され、27% が自主的に退職しているという。

The consequences of data loss and exfiltration. Source: Egress
The consequences of data loss and exfiltration. Source: Egress

効率的なトレーニングが実施されていない状況であっても、従業員たちは、このような事態に陥っている。全体として、サイバー・セキュリティのリーダーの 91% は、従来のトレーニングの効果に対して疑問を持っている。

そのため、ほとんどの場合において、従業員に合わせたトレーニングは実施されていない。従業員が所属する部署/チームを反映した、セキュリティ意識向上トレーニングを実施している組織は、わずか 19% に留まっている。つまり、トレーニングは、チェックボックスの使い方の練習と見なされることが多い。

Egress の Jack Chapman は、「すでに、修正が不要という状況にはない。ユーザー組織は、早急にアプローチを適応させる必要があり、それを怠ると、2024年も同じ状況を引きずるというリスクが生じる」と指摘している。

このレポートにおける調査データは、米国/英国/オーストラリアにおける、金融/法律/医療などのセクターで働く、CISO/CIO を含む 500人のサイバー・セキュリティ・リーダーたちから集計されたものだ。

回答者の全員は、Microsoft 365 を使用しており、電子メールのセキュリティを担当している。この調査データは、Egress Defend と Egress Prevent で構築されるプラットフォームからのデータにより補足されている。

脆弱性やマルウェアなどに対する様々な対策が講じられても、メールを介して接触してくる悪意の手口は、それらの対策をすり抜けて、防御壁の内側に入り込んできます。そうなると、それぞれの組織を構成している人々のリテラシーに頼らざるを得ないのですが、そのための知識を共有する方式が確立されているわけでもありません。「フィッシング攻撃に騙された従業員のうち、51% が懲戒処分を受け、39% が解雇され、27% が自主的に退職という現実は、あまりにも悲しすぎますね。