フィッシング攻撃は誰が最も被害を受けやすいかが判明

15ヶ月間にわたり14,733人が参加した大規模なフィッシング研究が行われ、以前の研究結果と矛盾する驚くべき結果が得られたことがわかりました。

この研究は、チューリッヒ工科大学の研究者が無名の企業と共同で行ったもので、参加者には模擬フィッシング・プログラムの存在を知らせず実施されました。

研究者は、偽のフィッシングメールを参加者の通常の業務用メールアドレスに送り、疑わしいメールを簡単に報告できるメールクライアントボタンを配置していました。

この研究の目的は、以下の4つあり

既存の研究と矛盾する発見として、性別はフィッシングの感染しやすさと相関しないことがわかりました。その代わり、若年層と高齢者はフィッシングのリンクをクリックする傾向があることが判明し、年齢が重要な要素であることがわかりました。

さらに、日常業務でコンピュータを必要としない人に比べ、反復作業に専用ソフトを使用している人は、フィッシングの罠にかかりやすいという結果も出ています。

フィッシングメールを開封した人の30.62%が、さらに別のメールをクリックしており、以前の研究で注目されたいわゆる「繰り返しクリックする人」が現れています。さらに、危険な行為（マクロの有効化、認証情報の送信）を行った人のうち23.91%が、2回以上行っていることがわかっています。

ETHの調査における発見は、調査参加者の32.1%が少なくとも1つの危険なリンクや添付ファイルをクリックしていることから、継続的にフィッシング攻撃を受けている従業員は最終的にフィッシングに引っかかってしまうということのようです。

この結果は、効果的なEメールセキュリティとアンチフィッシングフィルターを導入することの重要性を強調しています。なぜなら、常にフィッシングにさらされていると、トレーニングされた従業員でさえも感覚が麻痺し、危険な行動を取るようになってしまうからです。

Table of contents

従業員に修了を求めないトレーニングは効果がない？

不審なメールに対する警告は有効であることがわかったが、この有効性は警告メッセージが詳細になるにつれて大きくなるわけではない、という新しい知見が得られました。

一般的に使われているセキュリティの常識に反する発見として、フィッシングの模擬演習における自発的な組み込みトレーニングは効果がないことを明らかになりました。

これまでの業界の一般的な常識とは異なり、フィッシング演習のシミュレーションと自主的な組み込みトレーニング（従業員にトレーニングの修了を求めない）の組み合わせは、従業員のフィッシング耐性を改善しないばかりか、実際にはフィッシングにかかりやすくなることさえ分かった

テスト企業の従業員には、不審なメッセージを報告するための「フィッシング報告」ボタンがメールクライアント上に用意されており、その結果90%の社員が疑わしいメールを6通以下しか報告しなかったが、中には実験期間中、非常に活発に報告し続けた社員もいました。

そのため、研究者は「報告疲れ」はないと結論付けており、フィッシング対策データのクラウドソーシングが実現可能であることを示唆している。

ユーザーからの報告の精度は、フィッシングが68％、スパムを含めると79％で、最も多く報告した人は80％以上の精度に達しました。

また、これらの報告が受付から提出されるまでの時間は、全体の10%で5分、35%で30分となっています。

この数字を、従業員数1,000人の企業で100人がフィッシングに遭ったと仮定すると、従業員からのメール報告は8～25件となり、そのうち5分以内に1件、30分以内にそれ以上の報告があることになります

これらの結果は、企業全体のクラウドソーシングによるフィッシング検知サービスを利用することで、フィッシング攻撃の脅威を大幅に軽減できることを示しています。

また、このようなシステムを導入しても、運用に大きな負担がかかることはないため、企業がクラウドソーシングによるフィッシング対策を導入しても、それほどの負担は生じないことも重要なポイントです。

もちろん、フィッシングはこのような研究の範囲を超えた多くの重要な要素を含む複雑なテーマであるため、これらの調査結果は良い習慣や悪い習慣、普遍的に適用できるルールについての具体的な証拠とはみなされません。

しかし、フィッシングが現代のサイバー攻撃において中心的な役割を担っていることを考えると、この調査結果を基により効果的なフィッシング対策を開発する必要があることがわかります。