【フィッシングメール】騙されやすい件名 + 役職有りの方は要注意
迷惑メールフォルダーが埋もれるほど、安易なフィッシングメールが多く来てます。エサに食いつかせないと次に進まないし、目的を達成できないはずなのに、まぁ低レベルのフィッシングメールがあふれてます。肝心なメールが埋もれる回数が増えてきているので、本当に迷惑です。
最もクリック率が高かった荷物の配達に関するフィッシングメールは 18.5 % がクリックしており、Google から電子メールが配信できなかったと知らせるフィッシングメールと、人事部からのアンケート調査を装ったフィッシングメールがそれぞれ 18 % で続く。このほか、会社からの新しい服装規定の通知 (17.5%) や避難訓練の通知 (16%)、予約確認や注文確認 (各11%) 、IKEA のコンテストのお知らせ (10%) のクリック率が高かったとのこと。
中身をみればチープなメール本文ですが、件名だけは考えているようです。いまでも多くある脅迫するような件名では、受信者側のスキルが上がっているのか、1-2%程度のクリックらしいです。
注意喚起系の「メールが受信出来なくなった」とか「サブスクの料金が落ちなかった」などなど。「カードが不正に利用されないために定期的な御利用履歴の確認」なんか、ちょっと押しそうになります。
結局、より自分のことに関することに興味が高いようです。当たり前ですね。ならば、そういう件名に釣られやすい事を注意しておくしかありません。常に注意し続けることがセキュリティ意識の向上に繋がっていきます。
著名な人や役職のある人ほど機密情報を保有している可能性が高くフィッシングやマルウェア感染を狙うメールが送信されるなど、攻撃の対象となりやすいと以前から言われていますが本当にその傾向はあるのでしょうか?本ブログでは、実際にNICT職員宛のフィッシングメールを集計し、攻撃対象となった職員を役職有無や勤務年数別に分けて受信件数を分析してみました。なお、調査対象期間のデータは、約1か月(2022/3/28-2022/5/1)となります。
トップレベルドメイン別の.icuと.cnで68%もあります。これだけチェックしてれば、ちょっと安易ですが7割は防げそうです。
この引用記事で一番興味があったのが、これです。3倍も多いです。
こちらは、勤続年数当たりのフィッシングメール受信数で、勤続年数が長いと受信数も増えていることがわかります。
興味深い調査です。やはり数字で出てくると説得力が高まります。
セキュリティ事故の現場から見て、この調査で最も危惧するのは、役職有り+勤続年数が長い部分です。
本来、このような立場の方々は、最もセキュリティやリスクマネジメント的に「模範的見本」になるはずなのですが、実際には逆を張っています。
最も脆弱性の高い「セキュリティの教科書に事例として載るような」事故を多く起こしています。
更に、それなりの情報へのアクセス権も持ち合わせていますので厄介です。フィッシングに関わらず、セキュリティ全般を通じて言える事です。もう一つ最も大事なことですが、それがマズイ事を知っている人は多くいるのに、注意出来る人はほとんど居ないことです。
日々の地道な積み重ねしかありません。セキュリティ向上を願っております。
何をどこからどのようにすれば?との質問が多くあります
急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。
従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)
労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。
しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。