もっとも成功したフィッシング攻撃のテンプレとは

元記事

www.techrepublic.com

一次ソース (登録必要)

www.wombatsecurity.com

概要

• 各組織の情報セキュリティ担当に対するフィッシング攻撃に関してのアンケート結果
• 自組織がフィッシング攻撃を受けたと回答した情報セキュリティ担当者は 76% で 2016 年とほぼ横ばい
• 受信者のクリック率は 2016 年の 15% から 9% へ 6% 減少

フィッシング攻撃の 4 つの対象者カテゴリ

• 一般消費者、均的な一般人が受け取るカテゴリ
  • 偽のSNS通知、アカウント侵害偽装、マイレージ関連、写真のタグ付け関連
• 企業のカテゴリ
  • 発注書、人事からのメッセージ、スパム検疫に関するメッセージ、福利厚生関連のエントリを促すメッセージなど
• コマーシャル
  • ビジネス関連のフィッシングで、特定組織に紐付かないもの。出荷通知、電子送金依頼など

• クラウド

  • 公開されているクラウドサイトからファイルをダウンロードさせようとする偽の通知、クラウドにホスティングされている文書の編集など

• 2017 年は上記 4 つのうち、一般消費者 と企業宛のメッセージが最も悪用され、攻撃全体にたいし前者が 44%、後者が 45% (2 カテゴリで 89%) をしめた

• 成功率が高いのはこの 2 つのカテゴリではなかった

最もクリック率が高かったフィッシングのテンプレ

以下はフィッシングメールのクリック率低下のために企業が行うトレーニング用シミュレーションで発覚したもの

• オンラインショッピングのセキュリティ更新通知: 受信者の 86% がクリック
• 企業宛にかかってきた知らない人からの伝言ボイスメール付きメール: 受信者の 86% がクリック
• 企業の電子メール改善に関するお知らせ: 受信者の 89% がクリック
• 「データベースのパスワードリセットに関するアラート」や「新しいビル避難訓練プランに関する通知」を含むメッセージはほぼ 100% のクリック率だった

まとめ

• 2016 年は企業宛のフィッシングが多数をしめたがしだいに一般消費者のフィッシングが多数派に
• 攻撃側が個人あてに戦術を変更した理由「企業メールと個人メールを受信環境をわけずに利用する機会が増えたことではないか」 *「個人と企業のメールをわけずに利用する人が多ければ、個人宛のメール経由でも企業のネットワークを狙うことができる」
• 「私用メールと企業メールをわけないことで、企業ネットワークに侵入するための攻撃面が拡大」
• 2018 年は情報セキュリティ担当者、IT 部門の担当者は利用者に個人メールと企業メールアカウントの利用をきちんと分けさせるよう教育し、企業アカウントを業務以外に使用させず、私用アカウントを業務に使用させないよう徹底すること
• 私用メールアカウントを業務端末に設定せず、スマートフォンなどに限定して使用するよう教育して企業ネットワークへの脅威の侵入を防ぐこと*1