日本の従業員の46%がリスクを知りつつも危険な行動–プルーフポイント調査

今回は「日本の従業員の46%がリスクを知りつつも危険な行動–プルーフポイント調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 プルーフポイントは、サイバーセキュリティに関する第10回目の年次レポート「2024 State of the Phish」(英語版)を発表した。

 この中で日本の従業員は、47%がパスワードの再利用や共有、未知の送信者から伝えられたリンクのクリック、信頼できない送信元への認証情報の提供など、リスクのある行動を取っていることを認めているという。なお、グローバルの調査結果では、世界の従業員の3分の2以上(71%)が故意に組織を危険にさらし、ランサムウェアやマルウェアの感染、データ漏えい、財務上の損失につながる可能性が明らかになった。

 今回の調査結果からプルーフポイントは、「サイバーセキュリティに関する知識が不足しているために人々が危険な行動をとっており、その対策としてセキュリティ意識向上トレーニングを実施すれば危険な行動を完全に防ぐことができる」とコメント。従来の考え方が大きく覆されたとした。

 レポートの基となる調査は、主要15カ国(日本、米国、韓国、シンガポール、オーストラリア、カナダ、ブラジル、フランス、ドイツ、イタリア、スペイン、英国、オランダ、スウェーデン、アラブ首長国連邦)における7500人の従業員と1050人のITおよびセキュリティ担当者の認識を調べた。報告書ではプルーフポイントが世界中の23万組織でスキャンした2兆8000億通を超えるメールのテレメトリーおよび1年間に送信された1億8300万通のフィッシング攻撃メールなどのシミュレーションで得られた知見に基づく内容も含め、現在の脅威の状況を詳細に解説している。

 日本における主な調査結果は、リスクのある行動を取っていることを認めている従業員のうち98%(世界平均:96%)は、内在するリスクを承知の上でそのような行動をとっている。危険な行動の動機はさまざまで、ほとんどの日本の従業員は利便性(54%)、時間の節約(34%)、緊急性(19%)を主な理由として挙げている。

 なお日本の対象組織の36%(世界平均:68%)が、2023年に少なくとも1回のフィッシング攻撃の被害に遭っているという。前年の60%に比べると、フィッシング攻撃の成功率は低下しているが、フィッシング攻撃の被害が発生した組織のうち、ランサムウェアの感染を引き起こされた組織が56%に上っている。

 日本のセキュリティ担当者の80%(世界平均:85%)が、ほとんどの従業員は自身にセキュリティの責任があることを知っていると回答。担当者は、ポジティブな行動に対する「リワード(100%)」「トレーニングの強化(75%)」「経営陣のセキュリティへの取り組み強化(75%)」が解決策だと考えていることが分かった。しかし、調査対象の大半の従業員(88%)は、「セキュリティが簡素化されより使いやすくなれば、セキュリティを優先する」と回答している。

 また、日本のセキュリティ担当者の84%(世界平均:89%)は、いまだに多要素認証がアカウント乗っ取りを完全に防ぐと信じていた。しかし多要素認証を回避するフレームワーク「EvilProxy」を使ったサイバー攻撃が毎月100万件以上行われているとする。

 プルーフポイントは、毎月平均6600万件の標的型ビジネスメール詐欺(BEC)攻撃を検出。メール詐欺を報告する組織は世界的に減少したが、調査対象の日本の組織の中で、62%がメール詐欺を報告しており、前年より12ポイント増えた。日本や韓国、アラブ首長国連邦では、文化や言語の障壁により、以前はBEC攻撃が少なかった可能性があるものの、生成AI技術により、攻撃者がより説得力のあるパーソナライズされたメールを多言語で作成できるようになっていると解説する。

 加えて、過去1年間にランサムウェアの感染を経験した日本の組織は38%(世界平均:69%)で前年から30ポイント減少した。ランサムウェア攻撃の影響を受けた組織のうち、32%(世界平均:54%)が攻撃者への支払いに同意し(前年の18%から増加)、1回の支払い後にデータへのアクセスを回復したのは、わずか17%(世界平均:41%)と、前年の50%から減少している。

 このほかに日本では、「サポート詐欺」(Telephone-Oriented Attack Delivery:TODO)攻撃が依然として活発だという。これは、攻撃者が偽の「コールセンター」になりすまして電話で直接会話を始め、受信者を扇動するメールを送るものだ。プルーフポイントでは、月平均1000万件のTOAD攻撃を検出。最近のピークは2023年8月で、1300万件のインシデントが発生したという。この攻撃は、発生直後においては無害なメッセージに見えるが、無防備な従業員が偽のコールセンターに電話をかけることにより攻撃チェーンが起動し、結果的に認証情報を提供したり、悪意のある攻撃者にリモートアクセスを許可したりしてしまうという。

元記事: https://japan.zdnet.com/article/35216070/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
第4回:多様化する生成AIモデルの統合管理とその注意点–戦略的アプローチと統合管理の重要性
IT関連
2023-12-22 09:23
“バイトテロ”再び 8年で変質した炎上の背景を考える :小寺信良のIT大作戦(1/2 ページ)
トップニュース
2021-06-24 10:22
企業向けアップルデバイス管理のJamf、ゼロトラストセキュリティのWanderaを買収へ
IT関連
2021-05-12 14:24
セゾン・ベンチャーズとライトアップが中小企業DXを促進するスタートアップに出資・営業支援
VC / エンジェル
2021-05-25 21:53
Airbnbが米大統領就任式週のワシントンD.C.における宿泊予約をすべてキャンセルに
ネットサービス
2021-01-15 08:26
ポルシェが、独自のEV充電ステーション網を構築すると発表
IT関連
2022-03-22 10:57
「脱丸投げ」でERPなどのカスタマイズは2割未満に–ガートナーが提言
IT関連
2024-03-30 08:40
金属対応RFIDで建設用軽仮設機材の管理作業を2割削減–DNPとアクトワンヤマイチ
IT関連
2023-09-14 09:33
金属3Dプリント構造物では世界最大級、センサーで痛み具合・交通量が計測可能なステンレス製3Dプリント橋が登場
パブリック / ダイバーシティ
2021-07-20 16:56
とらのあなの偽サイトに注意 Google検索の上位に
セキュリティ
2021-04-24 02:40
Clubhouse、そしてDispo 招待制というハードルがありながら緩くつながれるアプリに人気が集まる時代 (1/3 ページ)
くわしく
2021-02-26 19:33
CrossBorder、インテントデータを活用した「Sales Marker」を提供–営業の成約率を向上
IT関連
2022-07-15 04:15
Ziddyちゃんの「私を社食に連れてって」:クアルトリクスで東京駅を眺めながら無料のお弁当編
IT関連
2023-07-01 07:46
ジェフ・ベゾス氏は本日、7月5日付でAmazon CEOを退任、再来週には有人宇宙船「ニューシェパード」で宇宙旅行へ。後任は元AWS CEOのアンディ・ジャシー氏
AWS
2021-07-05 04:15