ソフォスは9月28日、欧州、北米・南米、アジア太平洋および中央アジア、中東、アフリカの30カ国のIT意思決定者5,400人を対象に実施したフィッシングに関する調査をまとめたレポート「Phishing Insights 2021」に関するオンライン説明会を開催した。
シニアセールスエンジニアの白井二規氏は、同調査レポートにおける注目ポイントの一つとして、フィッシング攻撃の意味合いがユーザーによって異なることを挙げた。「正当な組織からのものと偽るメールで、通常は脅迫や情報提供の要求と組み合わされている」という回答が最も多かったが、それ以外の選択肢も36%~51%の回答を得ている。
-
ソフォス シニアセールスエンジニア 白井二規氏
日本人の回答の特徴としては、「ユーザーをだまして情報を提供させようとするSMSメッセージ」の割合が全体平均より高かったことがあるという。この背景について、白井氏は「日本では、コロナ禍でECが伸び、宅配業者を装うSMSメッセージを悪用したサイバー攻撃が多かったことがある」と説明した。
白井氏は、このフィッシングに対する見解の違いは、教育に影響を及ぼすとして、ユーザー向けの教育資料や意識向上トレーニングを提供する際はこのことに留意するよう、アドバイスした。
-
フィッシング攻撃の意味合いはユーザーによって異なる。日本はSMSメッセージをフィッシングと捉えている人が多い
さまざまなセキュリティベンダーが、新型コロナウイルスの発生によって、サイバー攻撃が増えたと伝えているが、今回の調査でも、業種別および国別の双方において70%が「(新型コロナウイルスによる)パンデミック以降、フィッシング攻撃が増加した」と回答した。日本の回答は60%と世界平均を下回っているが、白石氏は「日本では英語ではなく、日本語が使われているため、英語圏の国より攻撃が少なかったのではないか」との見方を示した。
-
パンデミック以降、フィッシング攻撃が増加したという回答者は平均70%に上る
また、同調査では、フィッシング対策として、「サイバーセキュリティ意識向上プログラム」の導入状況を調べている。同プログラムの導入しているという回答が、全体では90%だったのに対し、日本は75%と全体を下回ったという。さらに、「コンピュータベースのトレーニングプログラムの導入」「インストラクターによるトレーニングの導入」「フィッシングシミュレーションの導入」についても、日本の導入率は世界全体の導入率を下回っていることが明らかになった。
-
日本はいずれのフィッシング対策も世界より導入率が低い
ちなみに、ソフォスはサイバーセキュリティに対する意識を向上するトレーニングとして、「Sophos Phish Threat」を提供している。同トレーニングは、「コンピュータトレーニング」「シミュレーション」「評価」という流れで行われる。
白井氏は、フィッシング対策のポイントとして、こうしたトレーニングなどに基づく効果の評価結果を踏まえてプログラムを見直し、ユーザーの前向きな行動を奨励・歓迎することが大事と語っていた。
