人事部から重要な文書を受け取ったと思いますか?注意してください。
KnowBe4の四半期フィッシングテストレポートによると、第2四半期の脅威アクターは人事部を装ったメールを頻繁に利用して攻撃を成功させていることがわかりました。不運なクリックの後、メール本文内のリンクやPDF文書が攻撃の一般的なベクトルとなりました。
TechRepublic は、フィッシング テストの結果と、進化し続ける AI を活用したフィッシング攻撃から企業を守る方法について、KnowBe4 のセキュリティ意識啓発推進者である Erich Kron 氏に話を聞きました。
人事部からの偽メールがソーシャルエンジニアリング詐欺のトップに
一部の攻撃者は、人事部からの偽のメッセージを使って、従業員にリンクをクリックしたり文書を閲覧したりすることが緊急であると信じ込ませます。報告書によると、
- 調査対象となったビジネス関連の電子メールの件名の 42% は人事関連でした。
- 残りの30%はIT関連でした。
- こうした件名の多くは、「休暇申請にコメントが残されました」や「タイプミスの可能性があります」など、職場での従業員の感情を煽るものでした。
「テキストメッセージ、電話、メールに強い感情的な反応を示した場合は、深呼吸をして一歩引いて、非常に批判的に見る必要があります」とクロン氏は述べた。「これらはソーシャルエンジニアリング攻撃であり、感情的な状態に陥らせてミスを犯させることが目的だからです。」
最近の他の攻撃は、Microsoft や Amazon からのメッセージを偽装した電子メールによって発生しています。
QRコード付きのフィッシングメールも従業員を騙す手口です。悪意のあるリンクと同様に、これらのQRコードは通常、有名企業、人事部、IT部門を装ったメールに含まれています。
「人事関連のフィッシングメールの継続的な増加は、組織の信頼の基盤そのものを狙うため、特に憂慮すべき事態です」と、KnowBe4のCEO、スチュ・スジョワーマン氏は8月7日のプレスリリースで述べています。「さらに、フィッシング攻撃におけるQRコードの増加は、これらの脅威をさらに複雑化させています。」
KnowBe4 の調査によると、フィッシング攻撃を受けやすい業界はヘルスケアと製薬業界であり、次いでホスピタリティ、教育、保険の順となっているが、組織の規模によって多少のばらつきがある。
KnowBe4 のフィッシングレポートはどのように機能しますか?
KnowBe4 は、四半期ごとの業界ベンチマーク レポートの情報を顧客や、あらゆる企業が利用できるフィッシング レポート ポータルから収集しています。
フィッシングシミュレーションプラットフォームを販売するKnowBe4は、企業に対して偽のフィッシング攻撃を仕掛け、企業のレジリエンス(回復力)をテストしています。具体的には、人々が陥りやすい攻撃の種類と、KnowBe4のようなトレーニングが企業をサイバー攻撃からどのように保護するかを評価しました。
データは 5,400 万回の模擬フィッシング テストから得られたもので、世界中の 55,675 の組織の 1,190 万人以上のユーザーに影響を与えました。
「私たちは多くの場合、実際に存在するフィッシング攻撃を模擬的に再現しています」とクロン氏は述べた。「つまり、私たちは『フィッシング攻撃の牙を抜く』と呼んでいる作業を行っています。なぜなら、実際に実際に起こっているのがフィッシング攻撃だとわかっているからです。」
このレポートでは、「ソーシャルエンジニアリングやフィッシング詐欺に引っかかりやすい従業員」の割合を独自に評価した「フィッシング未然率」を測定しました。1年間の継続的なトレーニングとフィッシングテストの結果、平均PPPは34.3%からわずか4.6%に低下しました。
参照: フィッシングとスピア フィッシングの違いは、攻撃が広範囲に及ぶか、特定の個人を狙ったものかという点です。
企業がフィッシング攻撃に対する脆弱性を軽減する方法
組織は、フィッシング メールには以前ほど誤字脱字が多くなかったり、あからさまに金銭を要求する内容が含まれていない可能性があることを従業員に明確に伝える必要があります。
「生成AIは、翻訳やクリーンアップに非常に役立っています」とクロン氏は述べ、「攻撃者は、通常であれば見られるようなエラーを一切発生させずに、はるかに大規模な攻撃を行うことができました」
従業員はURLとメールアドレスを注意深く確認することを忘れないでください。件名に「緊急」という言葉が含まれているメールは、本当にその通りのメールなのか、よく考えてみてください。
例えば、「これは本当に上司から来たものか、それとも単に上司の名前が書かれているだけか」とクロン氏は言う。
スパム対策やウイルス対策フィルターは、ソーシャルエンジニアリングやフィッシング攻撃の一部を捕捉できます。また、多要素認証は、被害者がリンクをクリックしたりQRコードをスキャンしたりした場合でも、攻撃者の攻撃範囲を限定します。KnowBe4に加え、Sophos、Proofpoint、Ninjio Hoxhunt、Cofenseなどの企業が、模擬攻撃を通じたセキュリティトレーニングを提供しています。
全体的に、定期的なフィッシング テストでその警戒心がテストされるかどうかに関係なく、従業員が警戒心を持っていることを確認してください。
「それについては少し緊張してください」とクロンは言った。
