「規定変更」「研修通知」人事からのメールはフィッシング要注意

　KnowBe4 Japan 合同会社は10月24日、2023年第3四半期の最新フィッシングメール動向を発表した。

　KnowBe4では、模擬フィッシング攻撃を通してどれくらい攻撃被害を受けやすいかをPPP（Phishing Prone Percentage：フィッシング詐偽ヒット率）として評価しており、この統計データを最新フィッシングメール動向として四半期毎に公表している。

　同レポートによると、第2四半期からの傾向として、服装規定の変更、研修の通知、休暇の最新情報など、人事部門からのメールを装うフィッシングの手口が継続している。同レポートでは、業務関連のフィッシングメールを受け取った場合、メールの正当性を論理的に考える前に、直感的に反応する傾向があると指摘し、業務関連のフィッシングメールは、メールの正当性を疑う前に、迅速に行動しなければならないという従業員の心理の隙を突いて誘導するとしている。

　今期も多く見られたホリデーシーズンのフィッシングメールでは、件名の上位5つのうち4つが人事部門からの通達や案内で、今期はハロウィンや秋の祝祭日、祝祭日スケジュール変更に言及したテーマが含まれている。また今期も、IT通達やオンライン・サービスの案内、税金関連等のメール件名を利用する一貫した傾向が見られるとのこと。

　KnowBe4 CEOのストゥ・シャワーマン氏は、「人事部門などの社内の関連部門からのメールであるかのように偽装する傾向が続いています。このようなメールは信頼できる送信元からのメールであるように見えるため、極めて危険です。このような悪意のあるメールは、従業員の信頼につけ込み、組織内に脆弱性を作り出します。これは、組織体制にも影響を及ぼす要因にもなりかねません。」とコメントしている。