ドイツの従業員のほぼ 64 分の 68 (2024%、世界では XNUMX%) が、ランサムウェアやマルウェアの感染、データ セキュリティ インシデント、または財務上の損失につながる可能性のあるリスクに故意に会社をさらしています。これらは、Proofpoints XNUMX State of the Phish Report の調査結果のほんの一部です。
これは、Proofpoint の第 86 回年次フィッシング報告書から得られた発見の 2023 つにすぎません。フィッシング攻撃が成功する頻度はわずかに減少しましたが(ドイツで調査対象となった企業の 89 パーセントが、510 年に少なくとも 67 回の攻撃を成功させました(前年の XNUMX パーセントと比較))、悪影響は急激に増加しています。例えば、罰金は XNUMX パーセント増加し、風評被害の報告は XNUMX パーセント増加しました。
危険性についての無知が多い
🔎 まだリスクを負っていない従業員はわずか 30% 近くです (画像: Proofpoint)。
今年の調査結果は、サイバーセキュリティに関する知識が不足しているために人々が危険な行動を起こし、したがって教育によって危険な行動を防ぐことができるという広く広まった思い込みに特に疑問を投げかけている。ほとんどの従業員は会社を守るために自分たちが果たしている役割を認識しているという多くのセキュリティ専門家の信念も、調査結果を考慮すると疑問視される可能性があります。
今年の「State of the Phish」レポートでは、サイバー犯罪者が生成 AI、QR コード、多要素認証 (MFA) を悪用する現在の脅威状況の詳細な概要が示されています。この結果は、世界中の 2,8 万の組織にわたってスキャンされた 230.000 兆 183 億件を超える電子メールに基づく Proofpoint のテレメトリ データと、XNUMX か月間に送信された XNUMX 億 XNUMX 万件のフィッシング攻撃のシミュレーション結果によって裏付けられています。
このレポートでは、7.500 か国の 1.050 人の従業員と 15 人のセキュリティ専門家による評価も強調しています。彼は、サイバーセキュリティに対する姿勢が実際の行動にどのように現れるのか、そして脅威アクターがスピードと利便性に対する人間の好みを悪用する新しい方法をどのように見つけているのかを示します。このレポートでは、セキュリティ意識を高めるための取り組みの現状についても取り上げています。
世界中の 230.000 組織による評価
従業員はセキュリティ意識が低いため、危険な行為をしません。調査対象となった専門家の 69% が、パスワードの再利用または共有、不明な送信者からのリンクをクリックする、ログイン情報を他人に渡すなどの危険な行為を行ったことを認めています。分からないので信頼できる情報源に伝えてください。そのうちの 93 パーセントは、リスクを承知でそうしたことになっており、ドイツの従業員の 64 パーセントが、故意に会社の安全を危険にさらしていることになります。危険な行動をする動機はさまざまで、ほとんどの従業員が主な理由として利便性 (46%)、時間を節約したいという欲求 (44%)、緊迫感 (22%) を挙げています。
ITチームと従業員の間の不一致
🔎 従業員は会社のためにリスクを負います。その理由は、そのほうが便利であるため、または単に時間が節約できるからです (画像: Proofpoint)。
調査対象となったセキュリティ専門家の 86% は、ほとんどの従業員がセキュリティに対する責任を共有していることを認識していると考えています。対照的に、調査対象となった従業員の 65 パーセントは、自信がないか、まったく責任がないと答えました。危険な行為を行ったほぼすべての従業員 (93%) は、それに伴うリスクを認識しています。これは、安全トレーニングが従業員の意識を高める明らかな証拠です。
しかし、安全専門家と従業員が行動変容を達成するのに効果的であると信じているものの間には、大きな違いがあります。セキュリティの専門家は、より多くのトレーニング (80%) と厳格な管理 (92%) が解決策であると考えていますが、調査対象となった従業員のほぼ全員 (92%) は、管理がよりシンプルで使いやすくなればセキュリティを優先すると回答しています。
MFA は誤った安心感を与える
EvilProxy MFA バイパス フレームワークを使用して、毎月 89 万件を超える攻撃が開始されています。しかし、ドイツのセキュリティ専門家の XNUMX% は、MFA がアカウント乗っ取りに対する完全な保護を提供すると依然として信じています。
ビジネス電子メール侵害 (BEC) 攻撃は AI の恩恵を受ける
ドイツでは、昨年は企業の 82% が BEC 攻撃の標的となりましたが、86 年には 2022% でした。全体として、電子メール詐欺の試みを報告した企業は世界中で減少しました。ただし、日本 (前年比 35% 増)、韓国 (31% 増)、UAE (29% 増) などの国では攻撃量が増加しました。これらの国では、文化や言語の壁により、過去に BEC 攻撃が少なかった可能性があります。しかし、生成 AI のおかげで、攻撃者は複数の言語で、より魅力的でパーソナライズされた電子メールを作成できるようになります。 Proofpoint では、毎月平均 66 万件の標的型 BEC 攻撃を特定しています。
サイバー恐喝は依然として儲かる
昨年、ドイツ企業の 85% がランサムウェアに感染しました (前年比 35% 増加)。ドイツ企業の 75% は、複数回の個別のランサムウェア感染さえ経験しています。ランサムウェアの影響を受けた企業のうち、ほぼすべて (93%) が攻撃者への支払いに同意しました (昨年の 81% から増加)。 63% が 41 回の支払い後にデータへのアクセスを取り戻しました (XNUMX 年前は XNUMX%)。
電話指向攻撃配信 (TOAD) 攻撃は増加し続けています
TOAD 攻撃チェーンは、虚偽の情報と電話番号を含むメッセージから一見無害に始まります。何の疑いも持たない従業員が詐欺コールセンターに電話して自分の資格情報を明かしたり、悪意のある攻撃者にリモート アクセスを許可したりすると危険になります。 Proofpoint は月平均 10 万件の TOAD 攻撃を特定しており、2023 年 13 月には暫定最高の XNUMX 万件に達しました。
ランサムウェア、TOAD、MFA バイパスなどの脅威の脅威が増大し、その巧妙化が進んでいるにもかかわらず、多くの組織はそれらに対処するための十分な準備や訓練を受けていません。 TOAD 攻撃の検出と防止について従業員をトレーニングしているドイツ企業はわずか 21% であり、生成 AI の使用についてユーザーをトレーニングしている企業も同様に少ないです。
さらに詳しくは、proofpoint.com をご覧ください
プルーフポイントについて Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。