オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

【フィッシングメール】騙されやすい件名 + 役職有りの方は要注意

»

迷惑メールフォルダーが埋もれるほど、安易なフィッシングメールが多く来てます。エサに食いつかせないと次に進まないし、目的を達成できないはずなのに、まぁ低レベルのフィッシングメールがあふれてます。肝心なメールが埋もれる回数が増えてきているので、本当に迷惑です。

従業員がだまされやすいフィッシングメールの件名

最もクリック率が高かった荷物の配達に関するフィッシングメールは 18.5 % がクリックしており、Google から電子メールが配信できなかったと知らせるフィッシングメールと、人事部からのアンケート調査を装ったフィッシングメールがそれぞれ 18 % で続く。このほか、会社からの新しい服装規定の通知 (17.5%) や避難訓練の通知 (16%)、予約確認や注文確認 (各11%) 、IKEA のコンテストのお知らせ (10%) のクリック率が高かったとのこと。

中身をみればチープなメール本文ですが、件名だけは考えているようです。いまでも多くある脅迫するような件名では、受信者側のスキルが上がっているのか、1-2%程度のクリックらしいです。

注意喚起系の「メールが受信出来なくなった」とか「サブスクの料金が落ちなかった」などなど。「カードが不正に利用されないために定期的な御利用履歴の確認」なんか、ちょっと押しそうになります。

結局、より自分のことに関することに興味が高いようです。当たり前ですね。ならば、そういう件名に釣られやすい事を注意しておくしかありません。常に注意し続けることがセキュリティ意識の向上に繋がっていきます。

フィッシングメールのターゲットを傾向分析してみた

著名な人や役職のある人ほど機密情報を保有している可能性が高くフィッシングやマルウェア感染を狙うメールが送信されるなど、攻撃の対象となりやすいと以前から言われていますが本当にその傾向はあるのでしょうか?本ブログでは、実際にNICT職員宛のフィッシングメールを集計し、攻撃対象となった職員を役職有無や勤務年数別に分けて受信件数を分析してみました。なお、調査対象期間のデータは、約1か月(2022/3/28-2022/5/1)となります。

トップレベルドメイン別の.icuと.cnで68%もあります。これだけチェックしてれば、ちょっと安易ですが7割は防げそうです。

この引用記事で一番興味があったのが、これです。3倍も多いです。

こちらは、勤続年数当たりのフィッシングメール受信数で、勤続年数が長いと受信数も増えていることがわかります。

興味深い調査です。やはり数字で出てくると説得力が高まります。

セキュリティ事故の現場から見て、この調査で最も危惧するのは、役職有り+勤続年数が長い部分です。

本来、このような立場の方々は、最もセキュリティやリスクマネジメント的に「模範的見本」になるはずなのですが、実際には逆を張っています。

最も脆弱性の高い「セキュリティの教科書に事例として載るような」事故を多く起こしています。

更に、それなりの情報へのアクセス権も持ち合わせていますので厄介です。フィッシングに関わらず、セキュリティ全般を通じて言える事です。もう一つ最も大事なことですが、それがマズイ事を知っている人は多くいるのに、注意出来る人はほとんど居ないことです。

日々の地道な積み重ねしかありません。セキュリティ向上を願っております。

Comment(0)