従業員がだまされやすいフィッシングメールの件名 / phishing emails that employees find most confusing


サイバー攻撃の91%はフィッシングメールで始まり、フィッシング詐欺は情報漏えいの32%に関与していると言われています。

最近のフィッシング・シミュレーション・キャンペーンによると、効果的なフィッシング・メールは5種類あります。

  • 荷物の配達に関するフィッシングメール(配達に失敗しました系)
    クリック率:18.5%。

  • 電子メール配信に関するフィッシングメール(メール配信失敗系)
    クリック率: 18%。

  • 人事からのアンケート調査を装ったフィッシングメール(オンライン従業員アンケート等)
    クリック率: 18%。

  • リマインダーを装ったフィッシングメール(服装規定の通知、予約確認、注文確認、etc)
    クリック率:17.5%。

  • 全社員へのメールを装ったフィッシングメール(新しい建物の避難計画、etc)
    クリック率:16%。

受信者を脅すようなメールや、即効性のある特典を提供するメールは、あまり「成功」していないようです。あなたのコンピュータをハッキングして検索履歴を知った」という件名のテンプレートはクリック率2%、リンクをクリックするとNetflixが無料になる、1,000ドルがもらえるというオファーでは、わずか1%の従業員しか騙されませんでした。

カスペルスキーは、フィッシング攻撃による情報漏えいやそれに伴う金銭的・風評的損失を防ぐために、企業に対して以下のことを推奨しています。

  • フィッシングメールの基本的な兆候についての従業員に対する注意喚起の実施。
    ドラマチックな件名、間違いやタイプミス、一貫性のない送信者アドレス、疑わしいリンクなど。

  • 受信したメールに疑問がある場合は、添付ファイルを開く前にその形式を確認し、クリックする前にリンクの正確さをチェックする。
    これらの要素にカーソルを合わせることで実現できます。アドレスが本物らしく、添付ファイルが実行可能な形式でないことを確認します。

  • フィッシング攻撃は必ず報告する。
    フィッシング攻撃を発見したら、ITセキュリティ部門に報告し、可能であれば、悪意のあるメールを開かないようにしてください。そうすることで、サイバーセキュリティチームがスパム対策ポリシーを再設定し、インシデントを防ぐことができます。

  • 従業員にサイバーセキュリティの基本的な知識を提供する。
    教育は、学習者の行動を変えます。脅威に対処する方法を教える必要があります。

  • 技術的対策の導入
    フィッシングの手口は巧妙で、誤クリックを防ぐ保証はないため、信頼できるセキュリティで作業端末を保護する必要があります。アンチスパム機能、不審な行動の追跡、ランサムウェア攻撃に備えたファイルのバックアップコピーの作成などを提供するソリューションを導入しましょう。

出典①:従業員がだまされやすいフィッシングメールの件名

出典②:Kaspersky reveals phishing emails that employees find most confusing