これは結構面白かった。
たくさん来る、フィッシングメールに使われている、件名を調べたんだって。
色々あるもんねぇ。
でも、今はアマゾンが多いかな?
変なサブジェクトでメールを送ると、自動処理されてしまうかもしれないので、善良な方たちも、注意したほうが良いかもね。
最新フィッシングメール動向:KnowBe4が2019年第4四半期(10月~12月期)の要注意件名トップ10を公表
セキュリティ関連と賞品プレゼント関連の件名が最もクリックされ易い
KnowBe4 Japan 合同会社
※当資料は、2020 年 1 月 15 日に米国で発表されたニュースリリースの抄訳版です。
https://www.knowbe4.com/press/q4-2019-knowbe4-finds-security-related-and-giveaway-phishing-emailsubject-lines-get-the-most-clicks
米国フロリダ州タンパベイ発(2020 年 1 月 15 日) –
世界のセキュリティ意識向上トレーニング市場をリードする KnowBe4 社(本社:米国フロリダ州タンパベイ、創立者兼 CEO: Stu Sjouwerman (ストゥ・シャワーマン))は、セキュリティ意識向 上トレーニングとして並行して実施される模擬フィッシング攻撃の 演習テストを実施しています。このフィッシング攻撃演習テストを通 して、どれくらい攻撃被害を受けやすいかを PPP(Phishing Prone Percentage:フィッシング詐偽ヒット率)としてアセスメントしていま す。これに関連して、最新フィッシングメール動向として四半期毎 に統計データを一般に公表しています。本プレスリリースでは、 2019 年第 4 四半期(10 月ー 12 月期)の要注意件名統計レポート のポイントを公開します。
同社の模擬フィッシング演習テスト統計データによると、パスワー ドの即刻確認を依頼する緊急メッセージが最もヒット率が高く、驚く ことに 39%がクリックしています。また、ソーシャルメディアのメッ セージもフィッシングの手段として要注意のカテゴリーとなっていま す。これに関連した KnowBe4 の統計データによると、最もクリック されたソーシャルメディア件名のうちで、LinkedIn のメッセージが 55%で突出して第 1 位、Facebook のメッセージが 28%で第 2 位 と報告されています。
今回の統計では、KnowBe4は、KnowBe4の模擬フィッシング攻撃演習テストからの数万件のメール件名をチェックしています。また、KnowBe4は、同社のPhish Alertボタンを使ってエンドユーザーがIT部門へ不審メートとして報告した実際のメールの件名についてもチェックしています。本統計データのポイントは以下のとおりです。
KnowBe4のCEOであるStu Sjouwermanはこの結果について、 次のようにコメントしています。
「多くのエンドユーザーがセキュリティを気にするようになっていま す。ここに、パスワードの変更や確認を偽装して緊急度をあおって 依頼してくるフィッシング攻撃の落とし穴があると思われます。ま た、賞品やクーポンなどをプレゼントしてくるフィッシングメールの 極めて注意が必要です。フィッシングメールを見分けることはます ます困難になってきています。フィッシングメールには必ずレッドフ ラグ(赤信号)がありますので、エンドユーザーが注意深く見付け ることです。クリックする前に、手を止めて、考えることが、これまで になく重要になってきています。」
今回の統計では、KnowBe4は、KnowBe4の模擬フィッシング攻撃演習テストからの数万件のメール件名をチェックしています。また、KnowBe4は、同社のPhish Alertボタンを使ってエンドユーザーがIT部門へ不審メートとして報告した実際のメールの件名についてもチェックしています。本統計データのポイントは以下のとおりです。
● 一般的に使われているフィッシングメール件名トップ10
- 緊急度をあおるパスワードの変更依頼: 26%
- Microsoft/Office 365: メールアカウントの利用停止: 14%
- 即時パスワード確認依頼: 13%
- 人事通達: 昇給通知: 8%
- Dropbox: ドキュメント共有通知: 8%
- ITからのお知らせ: 定期サーバー保守 – インターネットアクセス不可: 7%
- Office 365: 緊急度をあおるパスワードの変更依頼: 6%
- 人事通達: PCの使用について: 6%
- Airbnb: 新しいデバイスのログイン: 6%
- Slack: アカウントのパスワード再設定のお願い: 6%
*今回の統計データでの件名は英語またはフランス語ですが、日本語に翻訳してあります。同様なフィッシングテンプレートを日本語でも用意しています。
**今回の統計データでの件名は、KnowBe4がお客様用に用意した フィッシングテンプレートとKnowBe4の顧客が各自でカスタマイズしたものの両方が含まれています。
● 実際のメールの件名で最も一般的なもの
模擬フィッシングメールに加えて、実際のメールの件名についてもKnowBe4では調査しています。
以下は、KnowBe4が2019年第4四半期で検出した実際のメールの件名で最も一般的なものです。
- SharePoint: SharePointサイトストレージ容量上限にもう少しで達します
- Microsoft: Anderson Hauckがホワイトボードをあなたと共有しました
- Office 365: 重大度中の警告: 異常なファイル削除の量
- FedEx: [日付、時間指定]の配送には現住所が必要です
- USPS: 電子領収書の準備ができました
- Twitter: あなたのTwitterアカウントがロックされました
- Google: 必須の項目を記入してください
- Cash App: あなたのアカウントが閉鎖されました
- oinbase: 重要 エラーを即時訂正ください
- 請求書を確認いただけますか?
*今回の統計データでの件名は英語ですが、日本語に翻訳してあります。
**実際のメールの件名とは、エンドユーザーが受け取った実際にメールで不審メールとしてIT部門へ報告したメールの件名です。模擬フィッシングテストでのメールの件名ではありません。
KnowBe4についてさらに知りたい方は、www.knowbe4.com.をアクセスしてください。
<KnowBe4について>
KnowBe4は、セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーです。IT/データセキュリティ・エキスパートであるStu Sjouwerman(ストゥ・シャワーマン)によって2010 年8 ⽉に米国フロリダ州タンパベイで設立され、セキュリティの「人的要素:ヒューマンエラーの克服」にフォーカスして、ランサムウェア、CEO攻撃/詐欺、ビジネスメール詐欺(BEC)を始めとする巧妙化するソーシャルエンジニアリング手口などの社員ひとり一人のセキュリティに対する認識を高めることで、「人」を狙うセキュリティ脅威から個人、組織、団体を防御することを支援しています。世界で最も著名なサイバーセキュリティ・スペシャリストであるKevin Mitnick(ケビン・ミトニック)がCHO(Chief Hacking Officer)を務めています。同氏のハッカーの視点に立った知見をベースにKnowBe4のトレーニングプログラムは組み立てられています。2020年2月現在、31,000社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築しています。また、KnowBe4はセキュリティ意識向上トレーニングのマーケットリーダーとして、その評価はガートナーが同社の2019年度マジッククアドラントで3年連続リーダーとして認定するほか、企業成長力や企業文化においても高い評価を獲得しています。
https://www.knowbe4.com/
以上
当然、公開されているということは、こんなメールを送っている人たちも、これらのレーポートを見ているということになるよね。
ということは、今後は更に、巧妙な方法でってことになるだろうから、ますます注意が必要ということになる。
まさにいたちごっこですな。
大企業などで、支払いに関するメールとかに、引っかかってしまうとかも、あるみたいで、こういったのは、表に出てくるのは、被害にあったほんの一部なんだろうから、タイミングによっては、注意していても危険度が高くなりますよね。
もちろんそれらの確認を行うという、スキームができているところも多いのだろうけれど、それらをしたくてもできない中小企業なども、多いのではないかなぁ?
電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな(役にあんまり立たない)ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。