人間の脆弱性を組織の強みに変える

Erich Kron、セキュリティ意識向上アドボケイト、KnowBe4

2025年8月4日

読了時間：5分

Person typing on a laptop keyboard; the image looks slightly out of focus, like the camera is zooming in

出典：Stephen Frost（Alamy Stock Photo経由）

論説

ダイナミックな脅威の中心に、依然として根強く、効果的な攻撃ベクターが存在します。それがフィッシングです。技術的な防御が進化する一方で、脅威アクターは人間の本質を突く手口を強化しており、フィッシングは単なる脅威ではなく、緊急対策を要する本格的な流行病となっています。

揺るがない人的要因

最新のVerizon「データ漏洩調査報告書（DBIR）」を含む権威ある調査では、人が侵害を可能にする主要な攻撃ベクターと見なされています。人的なやり取りが初期アクセス侵害の約60％を占めており、ユーザーが悪意のあるリンクをクリックしたり、マルウェアが仕込まれた添付ファイルを開いたり、ソーシャルエンジニアリングの罠に陥ったりしています。

詐欺は非常に巧妙になっており、境界型エンドポイント保護ツールやファイアウォールだけでは人的脆弱性を完全に補うことはできません。

しかし、状況はさらに複雑です。侵害のかなりの割合（DBIRなどの報告書では20～30％程度とされる）は、認証情報の使い回しに起因しています。これは別の技術的失敗ではなく、人的要素の課題の延長線上にあることを認識することが重要です。

一度侵害された後でも複数のアカウントでパスワードを使い回す傾向は、まさに人間の本質です。利便性がセキュリティのベストプラクティスに勝るのです。フィッシング攻撃と認証情報の使い回しが合わさることで、人的要因が初期侵入の大半を占めていることが浮き彫りになります。

進化する脅威：明白なものを超えて

フィッシングの脅威は単に持続しているだけでなく、より洗練され、発見が困難になっています。攻撃者は以下のような手法を活用しています：

ハイパーパーソナライズ：一般的な「お客様各位」詐欺の時代は終わりました。現在のフィッシングメールやメッセージは、ソーシャルメディアや過去の漏洩、偵察から得た詳細な個人情報（氏名、役職、会社のプロジェクト、最近の出張など）を組み込んでおり、非常に信憑性が高くなっています。
マルチチャネル攻撃：フィッシングはもはやメールだけにとどまりません。SMSを使った「スミッシング」や音声通話による「ビッシング」攻撃が急増しています。これらはテキストメッセージや電話の即時性や信頼性を悪用し、しばしばメールのセキュリティフィルターを完全に回避します。
時事ネタの悪用：サイバー犯罪者は、世界的なニュース、経済不安、季節イベント、著名人の話題、SNSのトレンドなどを巧みに利用し、緊急性を煽って疑念を回避する誘い文句を作り出します。詐欺師は人の心理を突く達人です。
ビジネスメール詐欺：BEC攻撃は、高額な資金移動や機密データを狙い、経営幹部や取引先、パートナーになりすます高度な手口です。攻撃者はコミュニケーションスタイルや社内プロセス（請求書承認など）を綿密に調査し、不正リクエストを正規のものに見せかけます。

油断の代償

どの業界も無縁ではありませんが、フィッシングキャンペーンは特定の業界に合わせて綿密にカスタマイズされることが多いです。KnowBe4が実施した模擬フィッシングテストのクリック率分析から、以下の傾向が見られます：

医療・教育分野：多様なユーザー層（非技術系スタッフ、学生、患者など）、高圧的な職場環境、扱うデータの機密性の高さから、被害に遭いやすい傾向があります。
金融・専門サービス：直接的な金銭的利益を狙われやすい分野です。攻撃者は顧客からの依頼や社内の財務プロセスを装った巧妙な誘い文句を作成します。
重要インフラ・製造業：業務妨害（例：偽のメンテナンス通知、取引先との通信の乗っ取り）や知的財産の窃取を狙った誘い文句で、標的となるケースが増えています。

人的レジリエンスを高める戦略

どの業界でも高いクリック率が見られる場合、より強化されたターゲット型のセキュリティ意識向上と再教育が急務であることを示しています。人を中心としたレジリエントな防御を構築するには、まず人的要素がソフトな攻撃対象であることを認識し、優先課題とする必要があります。しかし、被害を軽減するための対策は取ることができます：

1. セキュリティ意識向上トレーニング：年1回のコンプライアンスチェックにとどまらず、頻繁で魅力的なトレーニングモジュールを導入しましょう。マイクロラーニング、インタラクティブなシミュレーション、ゲーミフィケーション、組織特有の脅威を反映したコンテンツを活用します。トレーニングは脅威の進化に合わせて進化させる必要があります。
2. 模擬フィッシングキャンペーン：社内で現実的なフィッシングシミュレーションを定期的に実施しましょう。これは「引っかけ」ではなく、良い学習機会です。クリックした場合は即時かつ建設的なフィードバックを提供し、見逃した警告サインを説明します。部門や役割ごとに最も関連性の高い脅威を模したシミュレーションを行いましょう。
3. 強い報告文化：従業員が疑わしいメールやテキスト、電話を責められることなく簡単に報告できるようにし、積極的に報告を促しましょう。明確な報告チャネルを設け、フィードバックに感謝を伝えます。報告されたフィッシングは潜在的な侵害を防ぎ、貴重な脅威インテリジェンスとなります。
4. 技術的コントロール：人が標的でも、技術は不可欠な防御レイヤーを提供します。主なものは以下の通りです：
- AI/ML機能を備えた高度なメールセキュリティ：なりすまし、悪意のあるリンクや添付ファイルを受信箱に届く前に検知
- 多要素認証（MFA）：フィッシングで盗まれた認証情報による被害を最も効果的に軽減する技術的コントロール
- ゼロトラスト：ネットワーク内外を問わず、すべてのアクセス要求を検証・認可するセキュリティフレームワーク。ユーザーは必要最小限のリソースのみアクセス可能
- 商用パスワードマネージャー：各アカウントごとに安全なパスワードの生成・保存を容易にする
- ウェブフィルタリングとDNSセキュリティ：既知の悪意あるウェブサイトやドメインへのアクセスをブロック
5. リーダーシップの推進：サイバーセキュリティは組織文化としてトップダウンで根付かせる必要があります。経営層はセキュリティ施策を積極的に支持し、トレーニングに参加し、セキュリティをIT部門だけのものではなく、ビジネス成功に不可欠なビジネス推進要素として位置付けるべきです。

人的防御こそ最強の防御

フィッシングの流行は、防御の中心を「人の力」に据えるという意識改革を求めています。人的中心の防御を構築するには、適応的なセキュリティ意識向上トレーニングで批判的思考力を養い、警戒心と懐疑心の文化を育て、ゼロトラストやMFAなどの多層的な技術的コントロールを導入することが必要です。目標は完璧ではありません。攻撃者が一部の標的に成功することは避けられません。目標はレジリエンスであり、フィッシング攻撃が届いたとき、大多数がそれに気づき、報告し、阻止することで、人的要素を最強の防御線に変えることです。