「エンジニアはフィッシングメールに引っ掛かりにくい」わけではない F-Secureが調査結果を発表：最もクリックされたのは「人事部門からの休暇取得メール」

F-Secureは、フィッシングメール演習に関する調査結果を発表した。それによると人事部門を装ったメールがクリックされやすく、ITに詳しいエンジニアであっても一般社員と同様にフィッシングに引っ掛かることが分かった。

[＠IT]

　F-Secureは2022年1月31日、フィッシングメール演習に関する調査結果を発表した。その結果、人事部門を装ったメールや請求書の作成についてのメールがクリックされやすいことが分かった。

　この演習は攻撃に使用されやすい4種類のフィッシング手法を模した電子メールに対して、人々がどのように反応するかを検証したもの。異なる業界の4社に所属する計8万2402人を対象に実施した。

エンジニアもわなに掛かる

　用意した手法は「請求書の作成を依頼するメール」「ファイル共有メール」「人事部門を装った休暇取得に関するメール」「サービス通知メール」の4つ。最もクリック率が高かったのは人事部門を装った休暇取得に関するメールで、22％の人がメール内のリンクをクリックしていた。次点は請求書の作成を依頼するメールで、クリック率は13％だった。

メールタイプ別のクリック率と報告率（提供：F-Secure）

　所属部署別で見ると4社のうち2社で、事業部門の社員よりもIT部門の社員の方がフィッシング演習メールをクリックした割合が高かった。この点についてF-Secureは「IT部門は他の事業部門と比べて『フィッシングの疑いがあるメールの報告についても優位性がある』と思われていたが、実際はそうではないことが分かった」と分析している。

　F-Secureでサービスデリバリーマネージャーを務めるMatthew Connor氏は次のように語る。