Terranova Security の年次Gone Phishing Tournament ™ は 2020 年 10 月に終了し、医療、消費財、運輸、エネルギー、IT、金融、教育、製造などを含む 98 の国と業界にまたがっています。 Microsoft Security によって作成された実際のフィッシング攻撃から作成されたテンプレートを使用して、 Terranova Security Awareness Trainingは行動科学の原則を利用して、ユーザーの行動を変えるコンテンツを作成します。私たちの使命に忠実に、今年の結果は、組織の防御の最前線である人間レベルでのサイバーセキュリティの状態について多くのことを明らかにしています。
大会結果
Terranova Security の Gone Phishing Tournament は、10 月にNational Cybersecurity Awareness Monthに合わせて開催される無料の年次サイバーセキュリティ イベントです。トーナメントでは、 Microsoft Defender for Office 365 (Office 365 Advanced Threat Protection) の攻撃シミュレーション トレーニングによって提供される実際の脅威をモデルにしたフィッシング メールを使用して、実際の応答をテストします。クリック率は、業界、組織の規模、地域、Web ブラウザー、およびオペレーティング システムによって分類されます。
実際のフィッシング攻撃から作成されたテンプレートを使用し、 98 か国で 11 の言語に翻訳された 2020 Gone Phishing Tournament では、組織がフィッシングの脅威を真剣に受け止めているものの、 結果はまちまちであることが明らかになりました。
「オンラインでの個人的な活動と仕事上の活動のクロスオーバーが増えています。だからこそ、サイバーセキュリティの教育とトレーニングは継続的な取り組みである必要があります。
図 1: 業界別のパスワード提出
業界全体のパスワード送信率の平均は 13.4% で、教育機関の従業員はわずか 7.9% で餌を食べる頻度が最も低かった.パスワード提出率が最も高かったのは公共部門の従業員で、20.7% でした。
図 2: 組織の規模別のクリックとパスワードの提出率
また、トーナメントの結果は、さまざまな規模の組織を比較しても、大きなばらつきがないことを示しています。たとえば、従業員が 3,000 人を超える組織と比較して、従業員が 100 人未満の組織では、フィッシング リンクをクリックしてパスワードを送信した人の数に 9.2% の差しかありませんでした。この結果は、フィッシング攻撃は、サイバーセキュリティのトレーニングがあまり進んでいない小規模な組織にとって脅威であるだけでなく、大規模な組織はさらに脆弱であることを示しています。
進行中の攻撃
リモート ワークの新しい世界では、従業員が境界線となります。フィッシングは、パスワードの盗難、資格情報の漏えい、機密データや知的財産へのアクセスという形で潜在的に大きな利益をもたらす、低コストでリスクの低い形式のソーシャル エンジニアリングをハッカーに提供します。 2020 年を通して、日和見的なサイバー犯罪者は、 COVID-19 をテーマにしたフィッシングルアーを導入することで、気が散り、ストレスを感じているリモート ワーカーを食い物にしてきました。世界保健機関 (WHO) は、進行中の COVID-19 をテーマにしたフィッシング攻撃を「インフォデミック」と呼んでいます。 2020 年の夏までに、 連邦取引委員会 (FTC)は、すでに 59,000 件を超えるコロナウイルスまたは刺激関連の苦情を記録しており、その結果、7,400 万ドルを超える損失が発生しています。
National Cyber Security Alliance (NCSA) は、ユーザーがオンラインで安全を確保できるようにする強力な官民パートナーシップを構築することで、サイバー犯罪の増加を食い止めています。
「フィッシング ベンチマーク グローバル レポートは、Microsoft、Terranova Security、National Cyber Security Alliance などの組織が現在行っている作業の必要性を強調しています。現実世界のフィッシング シミュレーションと魅力的なセキュリティ意識向上トレーニングにより、組織、従業員、および一般市民は、ソーシャル エンジニアリングやフィッシング メールのリスクが増大していることを認識することができます。私たちは、産業界や政府と協力して、グローバル コミュニティがよりサイバーを意識したものになるよう力を与えていきます。」 — NCSA のエグゼクティブ ディレクター、Kelvin Coleman 氏
すべてのセキュリティ意識向上トレーニングが同じというわけではありません
ますます巧妙化するサイバー脅威を防御するために、組織は包括的な内部キャンペーンとして実世界のトレーニングを必要としています。 Terranova Security Awareness Training には、ゲーミフィケーションとインタラクティブなセッションが含まれており、世界中のさまざまな地域にローカライズできるように設計されています。
Microsoft Defender for Office 365 の攻撃シミュレーション トレーニングは、Terranova Security と提携して提供され、シミュレーション、トレーニング、およびレポートを統合します。 Terranova Security は、Microsoft と提携して、この差別化された業界をリードするソリューションを提供し、お客様が組織全体でフィッシング リスクを検出、優先順位付け、修復できるようにすることを楽しみにしています。攻撃シミュレーション トレーニングにより、お客様は次のことができます。
- 実際の脅威をシミュレートする:実際のルアーとテンプレートを使用して脆弱性を検出し、攻撃者が組織に対して使用したフィッシング メールを自動または手動で従業員に送信します。次に、パーソナライズされたトレーニング コンテンツを使用して、フィッシングのルアーに引っかかるユーザーに連絡します。
- インテリジェントな修復:従業員全体のソーシャル エンジニアリング リスクと脅威ベクトルを定量化し、修復トレーニングに優先順位を付けます。ベースラインに対する組織の進捗状況を追跡し、行動への影響を測定します。ユーザーの感受性指標を使用すると、自動化された再犯者のシミュレーションと特別な注意が必要な人々のトレーニングがトリガーされます。
- セキュリティ体制の改善:従業員の行動を変えるように設計された対象を絞ったトレーニングで、人間のセキュリティ システムを強化します。トレーニングはカスタマイズおよびローカライズできます。これには、従業員のコンテキスト (地域、業界、職務) に合わせて調整されたシミュレーションが含まれ、収穫に関する詳細な条件が適用されます。インタラクティブなナノ学習コンテンツとマイクロ学習コンテンツで、多様な学習スタイルに対応します。
今年のGone Phishing Tournament の結果に共通点があるとすれば、それは、あらゆる規模の組織が統合された攻撃シミュレーションとトレーニングをサイバーセキュリティ プログラムの基礎にする必要があるということです。サイバー犯罪者は休みを取ることはありません。また、シミュレーションやトレーニング プログラムにも休みはありません。
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイトをご覧ください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments