フィッシング攻撃には曜日ごとに違いがある、攻撃者のFacebook離れも　ほか

フィッシング攻撃には曜日ごとに違いがある、攻撃者のFacebook離れも

　電子メール保護ソリューションを提供している米Vade Secureは、北米における2018年第3四半期のフィッシング攻撃の実態について調査した結果を公開しました。

　まず、フィッシングURLあたりの電子メールの数は減少傾向にあり、第2四半期の64％にとどまっています。これは、フィッシング攻撃が標的を絞ったものになってきていることを示しています。一方、URLは86のブランドに渡っており、URL数は第2四半期よりも20.4％増えています。

（Vade Secure「Phishers' Favorites：Microsoft Retains the #1 Spot as Attacks Grow More Targeted」より）

　フィッシング攻撃に用いられるブランドで最も多いのはMicrosoftで、次いでPayPal、Netflix、Bank of Americaの順になっています。

（Vade Secure「Phishers' Favorites：Microsoft Retains the #1 Spot as Attacks Grow More Targeted」より）

　1位のMicrosoftは増え続けており、フィッシングURL数の平均は第1四半期で1日あたり124.2だったのが、第2四半期には192.4、第3四半期には235.4となっています。Microsoftをかたったフィッシング攻撃の目的は、Office 365の認証情報を手に入れることのようです。

　なお、2位以下のブランドの第2四半期からの増加率は、PayPalで29.9％、Netflixで61.9％、Bank of Americaで57.4％となっています。

　一方、上位10ブランドの中で唯一、Facebookだけは減少傾向にあり、第1四半期から第2四半期で-54.3％、第2四半期から第3四半期で-35.6％となっています。これは攻撃者のFacebook離れが進んでいることを示しており、その理由として、Cambridge Analyticaの件や莫大な数のアカウント情報が漏えいしたインシデントなどにより、Facebookのセキュリティに対する世間の厳しい目や関心が増してきたためではないかとしています。

　フィッシング攻撃に使われたブランドをサービス種別毎でまとめたのが以下の図です。

（Vade Secure「Phishers' Favorites：Microsoft Retains the #1 Spot as Attacks Grow More Targeted」より）

　フィッシングに使われたトップ25ブランドの業種については、1位のクラウドが6社、2位の金融系が9社で変わりなく、3位となった通信事業者は1社増加で5社となっています。これは、Comcastのフィッシングページが359.4％も増えたためです。EコマースはAmazonがトップ25から外れたことで1社減って3社となっています。なお、前四半期からの増加率は、クラウドで22.5％、金融系で36.7％、通信事業者で46.3％です。通信事業者の急増はComcastによるものです。一方、ソーシャルメディアは、攻撃者のFacebook離れの影響で唯一減少しています。

（Vade Secure「Phishers' Favorites：Microsoft Retains the #1 Spot as Attacks Grow More Targeted」より）

　最も攻撃が多いのは火曜と木曜、ついで水曜、月曜、金曜の順になっています。この傾向は別の研究で明らかになっているマーケティングメールを送付するのに適した曜日と一致しています。攻撃者らがその研究結果を知っていたのか、攻撃者自身の経験に基づく偶然の一致なのかは不明ですが、メールを開かせてクリックさせるための工夫をしていることは確かでしょう。一方で、曜日についてはブランドごとに違いもあるようです。

• Microsoft：
  火曜と木曜が最も多いが、平日は概ね多めであり、週末に激減する。これは企業のOffice 365のアカウント情報を盗むことが目的のためとみられる。
• Bank of America：
  Microsoftとは逆に土曜と日曜が多い。ATMの利用が週末に多いことを反映しているとみられる。また、銀行の店舗やカスタマーサービスが閉まっていることから、フィッシングメールの受信者がそのメールが本物かどうかを問い合わせて確認することが難しくなるためと考えられる。
• Netflix：
  日曜が多い。別の研究によると、Netflixの新番組は主に土曜（金曜もある）に一斉リリースされるためにストリーミングのピークは土曜である。その付近でアカウントをロックすると脅すことでメール内のURLを開かせるように仕向けやすいためと考えられる。

　フィッシングに関する調査レポートは珍しくありませんが、曜日ごとの違いを調べたというのは新しい視点。違いの理由については推測の域を出ないものの、かたるブランドによって対象が異なり、その対象によって効率の良い曜日が違うというのは、考えてみれば当たり前のことなのですが、それを実際に調べてみたのは重要です。日本で同様の調査分析を行なった場合にどのような傾向が見られるのか気になります。

企業の情報管理に対する米国の消費者の意識

　毎日のように何らかのセキュリティインシデントによる被害が報道されている中、英国のセキュリティ企業PCI Palは、米国の消費者を対象にした調査結果を発表し、その中でセキュリティ侵害が起きた企業（ブランド）に対して不信感を抱く消費者は少なくなく、企業にとっては大きな痛手となることを明らかにしました。なお、調査の対象となったのは米国各地の消費者2000名で、年齢は18歳から65歳、年収は25ドルから50万ドルです。

　調査結果によると、回答者の83％はセキュリティ侵害が明らかになった直後、数カ月（several months）はその企業を利用するのをやめるとしています。さらに回答者の21％は二度と利用しないとしています。

　また、セキュリティ侵害が起きていなくても、データを安全に取り扱っていないことが分かった企業の利用を減らすとした回答者は45％、データの取り扱いで信頼できない企業は完全に利用をやめるとしたのは26％でした。

　一方、電話でのやりとりにも不安を抱いている消費者は少なからずおり、電話でやりとりした情報をどのように記録しているのか疑問を感じているのは28％、電話でクレジットカード情報のような機微情報を共有することを不快に感じているのは42％となっています。

　PCI Palの発表の仕方は少々煽り気味で、数字そのものを見れば、企業による消費者データの保護については気にしていない人の方がまだ多いという結果なのですが、それでも、顧客を失うという観点では決して無視できる数字ではないでしょう。

　一方、企業のセキュリティプロセスをチェックすべきということを知っていると回答している割合が61％、消費者のデータをどのように保護しているのか気にしているとの回答が28％あり、PCI Palは消費者の意識は高まってきているとしています。セキュリティ面で信頼を失った企業が信頼を取り戻すには、セキュリティ対策を見直して改善し、その内容を消費者に対して分かりやすく示すことはもちろん、それを実現するためにもこういった消費者の意識の変化を敏感にとらえることも必要です。

　ところで、今回は米国の消費者を対象としていますが、プライバシーに対する考え方が異なるヨーロッパやアジアなど他の地域で同じ調査を行なった場合に、どのような違いがあるのか、また同じところがあるのか、興味のあるところです。

ITリーダーのID管理に対する残念な実態

　ID管理技術の米SailPointは、400人のITリーダーを対象にID管理に関する意識調査を行なった結果を公開しました。注目すべきは以下の4点です。

• 回答者の5分の1は業務用と私用のアカウントで同じパスワード使い回しており、13％がパスワードを同僚と共有することもあるだろうと回答。
• 回答者の10分の1は上司がパスワードを記した付せんを機会があれば盗み見るだろうと回答。
• 回答者の16％は企業の機密データやファイルを自分の私用メールアドレスに送ることもあるだろうと回答。
• 回答者の20％はビルの入館証を誰かと共有することもあるだろうと回答。

　あくまで仮定や可能性（what if/would）の話ではありますが、それでも回答者がITリーダーであることを考えれば、残念な結果ではあります。いずれにせよ、これもまた1つの「現実」として受け止め、それを踏まえて対策を考えるべきなのでしょう。