プルーフポイントの第 10 回年次報告書によると、英国の労働者の 3 分の 2 以上が、不必要かつ不適切なサイバー リスクを承知で組織を危険にさらし、雇用主をデータ侵害、マルウェアまたはランサムウェア感染、経済的損失、風評被害にさらしているとのことです。 フィッシングの状況 報告。
プルーフポイントは、文書化されたフィッシング攻撃の発生率は減少しているものの、英国の組織の 66% が 2022 年の 91% と比較して 2023 年にフィッシング攻撃に成功しましたが、悪影響は甚大であると述べました。 罰金などの罰金を含む経済的損失の報告は30%増加し、風評被害の報告は78%増加していることが確認されている。
プルーフポイントの最高戦略責任者、ライアン・カレンバー氏は「サイバー犯罪者は、過失やアイデンティティの侵害、場合によっては悪意によって人間が簡単に悪用される可能性があることを知っている」と述べた。
「個人は組織のセキュリティ体制において中心的な役割を果たしており、侵害の 74% は依然として人的要素に集中しています。 セキュリティ文化を育むことは重要ですが、トレーニングだけでは特効薬にはなりません。 何をすべきかを知っていることと、それを実行することは別のことです。 今や課題は、意識を高めるだけではなく、行動を変えることです。」
プルーフポイントは、今回の調査結果は、危険な行動にふける人は、サイバーセキュリティの適切なレベルの知識が不足しており、セキュリティ意識のトレーニングを受けていないためにのみ危険な行動に走るという長年の考えに疑問を投げかけたと述べた。
この問題について質問されたセキュリティ専門家は、サイバーセキュリティは集団責任であることをほとんどの人が理解している、言い換えれば、人々は自分たちが間違っていることをしていると分かっていながらもそれを止められない、と述べた。 これはセキュリティ技術の限界とユーザー教育の間に懸念すべきギャップがあることを示していると同社は述べた。
Proofpoint によって照合されたデータに基づくと、問題の規模は確かに気が遠くなるようなものです。 調査対象となった社会人の約 70% が、資格情報を再利用または共有したり、不明な送信者からのリンクをクリックしたり、信頼できない情報源に資格情報を渡したりしたことがあり、そのうち 97% が、いけないことだと知りながらそうした行為を行ったと回答しました。
そうする動機はさまざまでしたが、リスクを負う人の大多数は、そのほうが便利だから (48%)、時間を節約したいから (40%)、そして用心深さを無視するほど問題が緊急であると感じたからです。 (22%)。
サイバーチームと一般従業員の間の行動変化の推進に関する明確な断絶に目を向けると、調査対象となったセキュリティ専門家の81%が、ほとんどの従業員はセキュリティが自分の責任であると認識していると回答したが、調査対象となった従業員の58%は、責任の所在が分からないか、責任を完全に否定していると回答した。責任者。
さらに、愚かなことをした事実上全員が本質的なリスクを知っていたにもかかわらず、セキュリティ トレーニングがある程度機能していることを示唆していますが、行動の変化を促す最も効果的な方法であるとセキュリティ チームとユーザーが感じていたことの間には、明らかに差異がありました。
擁護者は、より多くのトレーニング (85%) と厳格な管理 (89%) が今後の正しい方法であると信じる傾向がありましたが、従業員の 94% は、管理が簡素化され、よりユーザーフレンドリーであれば、より正しいことを行う傾向があると回答しました。
脅威の状況
このレポートはさらに、Proofpoint 独自のテレメトリに基づいて、現在のフィッシング脅威の概要を提供しています。このテレメトリは、サービスを利用している 23 万の顧客組織からの 2 兆 8,000 億件の電子メールと、1 億 8,300 万件のフィッシング攻撃のシミュレーションに基づいています。
過去 12 か月で最も懸念される問題の 1 つは、新たに獲得した生成人工知能 (GenAI) の力を利用したビジネス電子メール侵害 (BEC) 攻撃の急増です。ただし、特に英国における BEC 攻撃の数は実際には減少しています。 10%以上増加しました。 Proofpoint は現在、毎月平均 6,600 万件の BEC 攻撃を阻止していると推定しています。 そして、言うまでもなく、BEC 攻撃は現在 GenAI から「恩恵を受け」ており、サイバー犯罪者はこれを利用して、財務や人事のリーダーなど、標的となる組織内の信頼できる人物になりすます、これまで以上に説得力のあるおとりを作成しています。
Proofpoint はまた、電話指向の攻撃配信 (Toad) 手法の「市場」が繁栄していることも強調しました。 これらは、受信者には電話番号と誤った情報を含む無害なメッセージのように見えますが、被害者が応答して電話をかけ直すと、詐欺的なコールセンターに接続され、サイバー犯罪者が認証情報を放棄したり、リモート アクセスを許可したりすることができます。彼らのシステム。 Proofpoint のテレメトリは現在、毎月 1,000 万件の Toad 攻撃を検出しており、2023 年 8 月には 1,300 万件のインシデントが観測され、ピークに達しました。
このレポートでは、多要素認証 (MFA) をバイパスするための高度な技術の使用が増加していることも強調しました。 MFA は、アカウント乗っ取りを防ぐ特効薬のようなものとしてセキュリティ コミュニティによって支持されており、基本的な回復力を強化するためのベスト プラクティスの標準要素となっていますが、Proofpoint によると、現在ではその限界に達し始めている可能性があります。
この調査では、プロキシ サーバーを使用してユーザーに届く途中で正規の MFA トークンを傍受し、攻撃者がワンタイム コードと生体認証によって提供される追加のセキュリティ層を回避できるようにする、観察された多数の攻撃が明らかになりました。
懸念すべき点として、地下サイバー犯罪フォーラムで購入できるような、少なからぬ数の既製フィッシング キットには現在、標準で MFA バイパス機能が含まれており、これは比較的単純な攻撃者でも利益を得ることができることを意味します。 Proofpoint は、特に懸念の原因として、毎月約 100 万件のフィッシング脅威が観察されている EvilProxy フレームワークを強調しました。