「エンジニアはフィッシングメールに引っ掛かりにくい」わけではない F-Secureが調査結果を発表：最もクリックされたのは「人事部門からの休暇取得メール」

F-Secureは、フィッシングメール演習に関する調査結果を発表した。それによると人事部門を装ったメールがクリックされやすく、ITに詳しいエンジニアであっても一般社員と同様にフィッシングに引っ掛かることが分かった。

[＠IT]

印刷

鬯ｯ�ｮ�ｽ�ｫ鬩包ｽｨ郢ｧ謇假ｽｽ�ｽ�ｽ�ｹ髫ｴ雜｣�ｽ�｢�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽ�ｽPost

Shareシェア

はてなブックマーク

SharePocket Button

　F-Secureは2022年1月31日、フィッシングメール演習に関する調査結果を発表した。その結果、人事部門を装ったメールや請求書の作成についてのメールがクリックされやすいことが分かった。

　この演習は攻撃に使用されやすい4種類のフィッシング手法を模した電子メールに対して、人々がどのように反応するかを検証したもの。異なる業界の4社に所属する計8万2402人を対象に実施した。

エンジニアもわなに掛かる

　用意した手法は「請求書の作成を依頼するメール」「ファイル共有メール」「人事部門を装った休暇取得に関するメール」「サービス通知メール」の4つ。最もクリック率が高かったのは人事部門を装った休暇取得に関するメールで、22％の人がメール内のリンクをクリックしていた。次点は請求書の作成を依頼するメールで、クリック率は13％だった。

メールタイプ別のクリック率と報告率（提供：F-Secure）

　所属部署別で見ると4社のうち2社で、事業部門の社員よりもIT部門の社員の方がフィッシング演習メールをクリックした割合が高かった。この点についてF-Secureは「IT部門は他の事業部門と比べて『フィッシングの疑いがあるメールの報告についても優位性がある』と思われていたが、実際はそうではないことが分かった」と分析している。

　F-Secureでサービスデリバリーマネージャーを務めるMatthew Connor氏は次のように語る。

　「IT部門の社員はインフラやシステムのアクセス権を持っており、攻撃者の標的になりやすい。そのため、フィッシングに対する警戒心を持つことが重要だ。しかし、IT部門の社員のように警戒心を持っていたとしてもフィッシングメールをクリックしてしまう人がいるという事実はフィッシング対策で考慮すべき重要な要素だ」

「迅速な報告」ができる仕組みの構築が必要

　F-Secureは、不審メールが届いたときの報告手続きに関しても言及している。調査結果を見ると、フィッシングメールが受信ボックスに届いてから最初の1分間で、「不審メール」と報告した社員の3倍以上の社員がメール中のリンクをクリックしていた。「不審メールにフラグを立てる機能」があるメールクライアントを利用している企業は、47％の社員がその機能を使って不審メールを報告していた。それに対し、報告機能がないメールクライアントを使用している企業では、不審メールの報告した人の割合が13％前後だった。

メール配信後の経過時間別のクリック率と報告率（提供：F-Secure）

　F-Secure Consulting（F-Secureのコンサルティング部門）でディレクターを務めるRiaan Naude氏は「この調査結果は、企業のフィッシングへの耐性を向上させるための出発点として『迅速で簡単に不審メールを報告できる手続きの必要性』を指摘している。この手続きを適切に実施することで、攻撃を早期に発見し、防御が可能になる」と述べている。