שלום!(シャローム!)AironWorks Marketing Teamです。今回はEメールを通じた「フィッシング」に焦点を当てて、日本におけるフィッシングの脅威を実際のデータで確認し、その現状について考察したいと思います。
Index
Gmailの調査
How Gmail helps users avoid email scams | Google Cloud Blog
Googleが発表した上記の調査によると、フィッシングについて以下のようなことが分かっています。
・Gmailは 1億/日以上 もの数の有害なEメールを未然に削除している。
・昨2020年にはCOVID-19関連で 1800万/日 もの数のマルウェアやフィッシング関連のEメールが送られた日がある。
・Stanford Universityらとの共同の調査によると、フィッシングの成功率に寄与する要因は①どこに住んでいるか、②どのデバイスを使用しているか、③過去にデータ流出の被害にあったかであった。
・Gmail上でのマルウェアやフィッシング関連の攻撃の対象となった国のランキングは
1位 アメリカ(42%)
2位 イギリス(10%)
3位 日本(5%)
であった。・その攻撃のほとんどはローカライズ(被攻撃者の居住国に最適化すること)されておらず、英語のテンプレートメールを送りつけているにすぎない。
・しかし、日本のユーザーを対象にした攻撃の78%は日本語で記述されている。
残念なことに英語を公用語とするアメリカとイギリスを除くと、日本は世界最大のフィッシング標的国です。しかも、その4分の3以上が日本に最適化さされた攻撃なのです。これは少し驚きの結果だと言えるのではないでしょうか。個人的にはアメリカは納得でも、ロシア・中国・EU諸国の方が攻撃されているようなイメージでした。
マルウェア・フィッシングとは何か?
そもそもマルウェアとフィッシングが分からない方のために簡潔に説明したいと思います。
まず、マルウェア(malware)は悪意のある(mal)ソフトウェア(ware)のことで、要するにコンピュータ上で悪事を働くソフトウェアの総称です。重要な機密情報を盗んだり、他の攻撃の踏み台にしたり、金銭を要求したりするために用いられます。
次に、フィッシング(phishing)とは悪意のある第三者がある会社や機関の人間に成り済まし、金銭や情報などを詐取することです。例えば、「ATMシステムの変更に伴い、4桁の暗証番号を送ってください」というような旨のメールはEメールフィッシングの一例と言えるでしょう。
なぜ日本でフィッシングが多い?
それではここで、なぜ日本でフィッシングが多いのか考察してみましょう。(注意:これらはあくまでも考察・仮説であり、事実ではありません。)
1. 日本に対して攻撃する国の存在
日本の周辺国(中国、韓国、北朝鮮、ロシアなど)は優れたサイバー技術を持つ国です。その技術を鑑みると、日本企業や行政内の人間を狙ってフィッシングを行い、マルウェアをインストールさせることは容易かもしれません。
2. 自然な日本語を生成する高度な機械翻訳の存在
日本語は日本以外の国で公用語とされていないという意味で閉鎖的な言語と言えるでしょう。そもそも漢字と仮名がインストールされているコンピュータが少ないですし、日本国籍でない人の日本語話者も多くありません。それが今ではDeepLなどの高精度の機械翻訳が登場し、かなり自然な日本語を出力できるようになりました。外国人の方には分かりにくかった敬語も自然に使われた日本語です。
3. 成功率が高い
そもそもサイバーセキュリティ、特にフィッシングに対する意識が低く、成功率が高いという仮説です。現在のフィッシング(スピアフィッシング)は個人に最適化されており、かなり手口が巧妙化しています。そのような手口に、被攻撃者があまり精通していないと成功率は高くなるでしょう。
4. 成功したときのインセンティブが大きい
世界第3位のGDPを誇る日本は成功したときの経済的リターンが大きく、リスクをとるに値するという仮説です。例えば、個人情報を多く有しているサービスが多く、不正に得た個人情報をダークウェブに売り捌くことやBECスキャンのように経営幹部に成り済まして多額の送金を引き出すことなどが考えられます。
フィッシング対策は何をすればいいのか?
フィッシング対策に銀の弾丸はありませんが、攻撃の成功確率を十分に下げることはできます。
・実際の攻撃の手口について、十分理解しましょう。現在のフィッシングは個人に最適化され、以前のそれより洗練化されています。実際の攻撃を模した擬似攻撃を受けてみるのも手かもしれません。座学のレクチャーよりはるかに高い教育効果をもたらすことができます。
・URLをむやみにクリックしないようにしましょう。ドメイン名が疑わしい場合、真正なサイトをGoogleで検索し、それと付き合わせて確認することをおすすめします。
・Gmailの(主にフィッシングに対する)セキュリティ設定に関して以下のページ(日本語もある)にまとめられています。このドキュメントを参考に今一度Gmailのセキュリティ設定を確認するのも良いでしょう。Advanced phishing and malware protection – Google Workspace Admin Help
最後に
最後までお読みいただきありがとうございました!日本がサイバー攻撃についてトップクラスの標的国であったことに驚かれた方も多かったのではないでしょうか。