Keepnetは、拡張人的リスク管理(xHRM)プラットフォームであり、本日、2026年Verizonデータ侵害調査報告書(DBIR)に音声・SMSフィッシングシミュレーションデータを提供したことを発表しました。2026年版は、このスケールで音声・SMSフィッシングシミュレーションデータを含める初の版です。DBIRでは、電話中心型とメールベース型シミュレーション間のクリック率中央値で「40%の増加」と記録されています(Verizon 2026 DBIR, p. 50)。
報告書によると、電話中心型フィッシングシミュレーションは2%のクリック率中央値を示し、メールシミュレーションは1.4%です(Verizon 2026 DBIR, p. 50)。同じページで、DBIRチームは「音声・テキストメッセージベースキャンペーンのシミュレーションを実施している企業を見つけるのに苦労した」と記述しています。攻撃者行動と業界測定値との間のギャップは拡大しており、これが今年の報告書の根底にある物語です。
Keepnetの名前は118ページの協力機関一覧に記載されています。
電話中心型フィッシングが測定を上回った理由
フィッシングはメール以外に拡大しました。攻撃者は音声、SMS、メールを組み合わせた統合キャンペーンを実施するようになり、メール専用の意識向上プログラムでは検出できません。2022年以降、いくつかの変化が起きました。
- 音声クローニングが安価になった。 音声クローニングがアクセス可能になると、現実性の問題のほとんどが解決されました。リアルタイム会話は数十の言語で行われ、クローン化された経営幹部の音声は本物の人物と区別しがたくなっています。
- MGMが音声フィッシングを個人から企業へシフトさせた。 2023年9月のMGMリゾーツ侵害は、ヘルプデスクへの10分間の電話通話で始まり、企業に推定1億ドルの損失をもたらしました。音声フィッシングが個人の問題ではなく企業の問題であるという長年の仮説を破りました。
- プリテキストが主流化した。 通話またはチャットで人物をリアルタイムで操作するやり方は、周辺的な戦術から主流の攻撃パターンへ変わりました。AIがスクリプトを作成し、通話を音声化します。会話の途中で適応します。多くの意識向上トレーニングは依然としてメール側に焦点を当てており、このアプローチに対応していません。
攻撃者はメール専用の受信トレイへの依存を止めました。現在、同じキャンペーン内で音声とSMSを先導することが多くなっています。メールフィッシングは非同期です。ターゲットは一時停止し、再読み、同僚に確認できます。音声とSMS攻撃は同期的です。ターゲットは数秒の時間しかありません。攻撃者は既にチャネルを変更しています。ほとんどの意識向上プログラムはまだ対応していません。
データが指し示すもの
- 電話は、ほとんどの意識向上プログラムが最も測定できていない企業の攻撃表面です
- プリテキスト(通話またはチャット上のリアルタイム操作)には、メール反フィッシング対策とは異なる対策が必要です
- 最近の著名な事件は、ほとんどの企業がこの表面をどのように測定するかをまだ理解している最中に、攻撃者が既に悪用していることを示しています
- より重要な質問は、誰がクリックしたかではなく、検証が実行される前に会話がどこまで進展したかです
セキュリティチームにとっての意味
これを間違える代償はもはや理論的ではありません。2024年香港ディープフェイク通話は多国籍企業に2,500万ドルの損失をもたらしました。FBIの2025年IC3報告書は、政府になりすましからのスミッシングとビッシング損失を2025年に7億9,800万ドルとし、同じ年にAI関連サイバー犯罪の新しいカテゴリーを8億9,300万ドルとしています(出典:FBI IC3 2025年次報告書)。2026年DBIRは身代金の中央値を139,875ドルと報告しており、侵害の経済学は攻撃者に継続して有利に働いています(Verizon 2026 DBIR, p. 11)。ほとんどのセキュリティチームにとって、測定されているものと悪用されているものの間のギャップが、実際のお金が失われている場所です。
- ヘルプデスクは現在攻撃表面の一部です
- 検証手順は意識向上だけより重要です
- 現実的な条件下での繰り返し訓練が、年1回のトレーニングより圧力下で機能します
- メール専用シミュレーションでは主要な攻撃チャネルがテストされません
次のステップ:全体的な攻撃を実行するAIエージェント
Gartnerは、2027年までにAIエージェントがアカウント露出の悪用にかかる時間を50%短縮すると予測しており、「ディープフェイク音声に基づくソーシャルエンジニアリング」と「ユーザー認証情報悪用のエンドツーエンド自動化」に明示的な注意を向けています(出典:Gartner、2025年3月プレスリリース)。実際には、その多くは既に自動化可能です。1つのシステムが通話前に背景情報を収集し、別のシステムが通話そのものを実行し、フォローアップSMSまたはメールは秒単位でトリガーされ、認証情報を収集する以外は人間のオペレーターが不要です。
自動化が攻撃者のコストをゼロに近づけ、ボリュームを増やすにつれて、ターゲッティングの経済学が変わります。現在のところ、主に高価値なヘルプデスクを持つ企業がこのリスクに一貫して直面しています。24ヶ月後には、ほぼすべての組織が直面することになります。経済は急速に変わりました。AIはこれらの攻撃をスケールで実行するコストを低下させ、検出をはるかに困難にしました。
Keepnetについて
Keepnetは2022年以来、音声・SMSフィッシングシミュレーションを実施してきました。顧客には世界的銀行、フォーチュン500企業、および中堅企業が含まれます。電話番号カバレッジは米国、英国、EU、およびアジアの一部に及びます。KeepnetはISO/IEC 42001:2023およびEU AI Act要件に準拠して運営されています。自動シミュレーションに加えて、Keepnetはライブ音声ベースのソーシャルエンジニアリング評価をヘルプデスクおよび高リスク従業員グループに対して実施しており、通話には実際のソーシャルエンジニアリングチームが参加しています。
歴史的に、フィッシングベンチマークは主にメールベースのシミュレーションに焦点を当ててきた一方、音声およびSMSシナリオは過小測定されていました。2026年DBIRへのKeepnetの貢献は、攻撃者がメール専用防御をバイパスするために現在使用しているチャネルを反映しており、2024年10月から2025年10月間の顧客シミュレーションから匿名化されたキャンペーンレベルのデータを使用しています。
Keepnetが大規模に実施するシミュレーション全体で、攻撃者には同じプレイブックが効果的であり続けています。通常、メールが最初にコンテキストを設定するために到着します。その後、SMSが来ます。電話通話がしばしば最終的な押し付けとなります。多くの場合、ヘルプデスクは何かおかしいことに気づきますが、攻撃者は通話を十分に速く進めるため、検証が始まることはありません。これがセキュリティおよびリスク リーダーが2026年の意識向上予算の計画時に考慮すべきギャップです。
「メールデータが収集しやすかったため、メールクリック率を測定してきました。電話チャネルは測定がより困難ですが、DBIRデータはそこのリスクがより高いことを示しています。ほとんどの意識向上プログラムはメール単独で評価されています。セキュリティリーダーの次のステップは、電話チャネルにも検証習慣を構築することです」と、Keepnetの創設者兼CEOであるOzan Ucarは述べています。
セキュリティチームが音声・SMSフィッシング露出をベンチマークする方法
Keepnetは、CISOs、セキュリティおよびリスク リーダー、ならびにSOC管理者に対し、以下の目的でカスタマイズされた音声・SMSフィッシング評価をリクエストするよう招待しています:
- 電話中心型シミュレーションのベースラインクリック率および会話継続率を測定する
- 2026年DBIRの電話中心型クリック率の知見に対してベンチマークを実施する
- KeepnetソーシャルエンジニアリングチームでヘルプデスクおよびVIP従業員のレジリエンスをテストする
- 従業員が音声・SMSフィッシングシナリオにどの程度準備できているか確認する
翻訳元: https://www.helpnetsecurity.com/2026/05/22/keepnet-verizon-dbir-2026/
