サイバーセキュリティ攻撃はとどまるところを知らない。サイバー攻撃者は常に新しい攻撃方法を模索し、脆弱性を悪用し、既存のエクスプロイトキットやマルウェアの改善を続け、効果的な攻撃方法を探し続けている。
そして、サイバー攻撃者に最も愛されているともいえる手法がフィッシング詐欺だ。この理由を探るため、F-Secureが大規模なフィッシング詐欺に関する調査を実施した。これは4つの組織から8万人を超える従業員を対象として行われた調査で、フィッシング詐欺が攻撃者にとって最も重要な手段であり続けているのかを検討する材料となる興味深い調査結果が示されている(参考:「TO CLICK OR NOT TO CLICK - What we Learned from Phishing 80,000 People」)。
F-Secureは4つの組織から8万2,402名の従業員を対象に、模擬的なフィッシング詐欺を仕掛けることで調査を実施したと説明。用意されたフィッシング詐欺メールの内容は「CEO詐欺」「社内人事」「文書共有」「サービス問題の通知」と、一般的に悪用されているもので、これらを無作為に選んで送信するという方法で行われた。
フィッシング詐欺メールの種類としては、「社内人事」を模倣したものが最も多くのクリックを得ており、これに請求書の作成などを依頼するといった「CEO詐欺」が続いている。
興味深いのはクリック数が多かった部門に関する調査結果で、IT部門やDevOps部門の従業員のクリック数が他の部門よりも多かった点にある。IT部門やDevOps部門の従業員は他の部門の従業員よりもフィッシング詐欺に関して高いレベルでの認識を持っているにもかかわらず、フィッシング詐欺のクリック数が多かったという。F-Secureはこうした結果がフィッシング詐欺に対する課題を浮き彫りにするものだろうと指摘している。