エフセキュア株式会社は1月31日、8万人以上を対象に実施したフィッシングメール演習に関する調査結果を発表した。
「To Click or Not to Click」(クリックすべきか、せざるべきか)と大きく構えた名が付けられた同調査は、異なる業界の4つの企業(銀行・金融業A社、製造業B社、小売業C社、D社)の82,402人が参加、攻撃に使用されやすい4種類のフィッシング手法を模したメールに対し、どのように反応するかを検証している。
どのような内容のメールがクリックされたのか、金融・製造・小売等の産業別では、どの産業のクリックが多かったのかあるいは少なかったのか、営業・技術・人事・財務・等々職種による違いはあるのかなど、産業と組織を軸にした分析がつぶさになされており、日本国内企業に向けて実施した調査ではないことを前提として読む必要があるものの、8万人と母集団も大きく、自社組織の対策策定や運用のヒントが得られる参考資料として価値が高い。
また、規模の大きい調査ではあるものの、実はその中味は、4種類のフィッシングメールを送って、ただその開封と通報を見ただけという、極めてシンプルなものだ。つまり、売りたいプロダクトありきでマーケ部門が仕込んだ調査というよりは、本当にエフセキュアが今このテーマに興味関心があって、あるいはやむを得ざる向き合わなければならない事情や意図があって、それをつきつめた感がある。エフセキュアは2020年、顧客から依頼を受けて調査したシスコシステムズ社製の偽造製品のレポートを公開するなど、その調査研究のスタンスにはマーケティングやPRというよりはジャーナリスティックな姿勢すらある。シスコのコピー製品の調査は調査というより捜査の趣があった。
今回のテーマになったフィッシングメールのクリックだが、実際にどんな最先端のセキュリティプロダクトを導入して、どんなすごい達人が運用したとしても、「人の脆弱性」は手当することが極めて難しく、いわば最後にして最大のセキュリティ暗黒大陸となっている。
調査結果だが、同調査で、最も高い割合でクリックされたのは休暇取得に関する人事部門からの通知を模したメールで、メール受信者の22%が、2番目に多くクリックされていたのはメール受信者に請求書の作成を依頼するメール(「CEO Fraud: CEO詐欺」)で、受信者の13%が、続いてドキュメント共有を模したメールが7%、オンラインサービスからのサービス通知を装ったメールが6%と続いた。
