日本プルーフポイント株式会社は4月19日、第10回目となる年次レポートの最新版「2024 State of the Phish」の日本語版を発表した。
同レポートでは、日本を含む15ヶ国(日本、アメリカ、韓国、シンガポール、オーストラリア、カナダ、ブラジル、フランス、ドイツ、イタリア、スペイン、イギリス、オランダ、スウェーデン、アラブ首長国連邦)の7,500人のエンドユーザーと1,050人のセキュリティ担当者を対象に行った調査をもとに作成しており、同社製品や脅威調査から得たデータ、12ヶ月間に顧客から送信された1億8,300万のフィッシング シミュレーション メッセージ、同期間に顧客のエ ンドユーザーから報告のあった2,400万以上のメールから得た知見が含まれている。
同レポートでは、ユーザーがサイバーセキュリティを優先させるための意欲を高める施策として、不適切な行動に罰則を適用することは、最も効果的でないアプローチであるとセキュリティ担当者にみなされているとし、幸いにも導入率は最も低かったとしている。罰則は、恐怖、恨み、不信や、意欲や士気の低下といった消極的な効果をもたらす可能性があり、ユーザーが積極的にインシデントを報告したり、サポートを求めたりしなくなるため、セキュリティ侵害のリスクが大きく高まる可能性があるとしている。エンドユー ザーにおいても、罰則は最も意欲を低下させる方法であるが、71%のエンドユーザーは動機付けになると考えている。
ランサムウェア インシデントを経験した組織のうち96%がサイバー保険に加入しており、ほとんどの保険会社では身代金の支払いを支援しており、前年の82%から91%に上昇している。しかし全体的にみると、ランサムウェア攻撃者に支払う割合は64%から54%へと減少している。
支払い後にデータへのアクセスを取り戻した回答者の数も減少しており、初回の支払い後にアクセスを取り戻した数は大幅に減少しており、支払い率が低下した理由の一つであると推測している。その他の理由としては、被害組織が身代金を支払うことで、さらなる攻撃の被害に遭う、犯罪活動の資金援助となる、破損したり不完全なデータを受け取るといった問題やリスクをより認識するようになっていることを挙げている。
2023年は組織の71%が少なくとも1度はフィッシング攻撃を経験しており、2022年の84%から件数は減少しているが、前年に比べ課徴金などの罰金は144%上昇し、フィッシング インシデントによる風評被害も50%上昇している。
