巧妙化するフィッシングメール「要注意件名」トップ10レポートが公開! 思わず開封してしまいそうな名前も

セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた、世界最大の統合型プラットフォームのプロバイダーであるアメリカのKnowBe4社は、2021年7月23日、2021年第2四半期(2021年4月~6月期)の「要注意件名」についての統計レポートを公開した。日々巧妙化するフィッシングメールだが、皮肉にも世の中の“今”が映し出される結果となっている。具体的な件名を見ていこう。

コロナ禍の人の心理を狙った巧妙な件名が増えているフィッシングメール

王道のタイトルには、もう引っ掛かる人は少ないかもしれないが…

 同社は、模擬フィッシング攻撃を通し、どれくらい攻撃被害を受けやすいかをPPP(フィッシング詐欺ヒット率)として、継続的にアセスメントしている。今回の調査によると、人事通達を装うフィッシングメール攻撃が急増しているとの結果が。特に、全社または全組織の従業員に適用される大規模な社内規定の新設や、改訂を装うフィッシングメールの増加が目立っている。「一般的に使われるフィッシングメール件名トップ10」を見てみよう。

・即時パスワード確認依頼
・有給休暇取得規定の改定
・重要:服装規定の変更
・給与振り込みの受領確認
・[[会社名]]緊急連絡システムのテスト
・定期サーバー保守 – インターネットアクセス不可
・新型コロナウイルス関連のリモートワーク内規変更
・[[ドメイン]]のMX2310Uからのスキャン画像
・セキュリティ警告
・配信エラー

「即時パスワード確認依頼」や「セキュリティ警告」など、さすがにひっかかる人はいないのではないか、と思うくらいの王道タイトルだ。しかし、具体的に自分の会社名が入った「[[会社名]]緊急連絡システムのテスト」や妙に社畜みのある「有給休暇取得規定の改定」というタイトルがきたら、「有給がどうなるの!?」と焦ってクリックしてしまわないだろうか。

 ここで同社が発表した2021年第1四半期(2021年1月~3月期)の「要注意件名」統計レポートを振り返ってみると、前期では新型コロナウイルス関連の件名が多く見られていた。「今期はこの種の攻撃へのユーザーの注意度が上がったことが減少の理由ではないか」と考察すると同時に、「多くの従業員がコロナワクチン接種を終わらせ、これに伴い、リモートワークからオフィスワークへの復帰を始めている。これと関連して、多くの企業で新しい社内規定が発行されており、そこを悪用しているのではないか」と同社は分析している。

 確かにコロナ禍を経て、世界中で大きな働き方改革が起こった。そんなさなかに「新型コロナウイルス関連のリモートワーク内規変更」なんてメールが来たら、「えっ、どういうこと?」と、筆者ならパッと開封してしまいそうである。

「ん?リモートワークの規定が変わるの?」と思わず開封してしまいそうな件名も

「自分は騙されない」という過信がある人こそキケンだ

 また同社では、模擬フィッシングメールに加え、実際のメールの件名についても調査している。続いて紹介するのは、2021年第2四半期で検出した実際のメールの件名で最も一般的なものである。

・Zoom:重要障害」
・IT通達:ITセキュリティポリシーの確認依頼
・Mastercard:確認依頼 – ワンタイムパスワード
・Facebook:あなたのアカウントがロックされました。
・Google:パスワードが侵害されました。パスワードを変更してください。
・Microsoft:セキュリティ警告 – 2 段階認証をオンにして、あなたのアカウントを保護してください。
・Docusign:必須 – セキュリティ研修書類に署名してください。
・インターンシッププログラム
・IT通達:リモートワーク関連の追加更新
・人事通達:人事管理システムの新設

 となった。

 グーグルやフェイスブック、マイクロソフトを騙るフィッシングメールは有名だが、「IT通達:リモートワーク関連の追加更新」といった、ご時世的に「あれ、何か変わるのかな?」とうっかり開封してしまいそうなものまで多種多様なものが並んでいる。

 同社は「重要なのは、メール内のリンクや添付ファイルを開く前に手を止めてダブルチェックすることです」とコメントしている。まずは、ドキッとするメールが来たら、すぐ開封せずに差出人などを疑ってみること、基本中の基本のようだが「自分は騙されない」という過信がどこかにないだろうか?

 いくら優秀なセキュリティソフトを入れても、結局は従業員一人ひとりが防御の最終ラインだ。タイトルも数カ月前の前期と比べるだけでも、新型コロナウイルス関連のものからリモートワークや社内ルールの変化へと刻々と変化している。私たちのセキュリティ意識もこまめなアップデートが必要だ。

出典元:最新フィッシングメール動向:セキュリティ警告や人事通達を装うフィッシング攻撃の脅威が増加【KnowBe4】

巧妙化するフィッシングメール「要注意件名」トップ10レポートが公開! 思わず開封してしまいそうな名前ものページです。オトナライフは、【スキル・ビジネスフィッシングメールメールランキング詐欺メール】の最新ニュースをいち早くお届けします。