こんにちは。現役のCSIRTアナリストとして、今回はかなり衝撃的な研究結果についてお話しします。
皆さんの会社でも実施されているであろう「フィッシング訓練」。実は、この訓練が逆効果になる可能性があるという研究結果が発表されました。2023年にカリフォルニア大学サンディエゴ校とシカゴ大学が19,789人を対象に行った大規模調査で明らかになったのです。
衝撃の調査結果:訓練がクリック率を18.5%も上昇させた
この研究で最も驚くべき結果は、複数回の静的訓練を受けた従業員のフィッシングメールクリック率が18.5%も上昇したことです。つまり、訓練を受けたことで、かえって危険なメールをクリックしやすくなってしまったのです。
一方で、インタラクティブ訓練(Q&A形式など双方向性のある訓練)を受けたグループでは19%のクリック率低下が見られました。しかし、全体のサイバーセキュリティ意識向上は1.7%にとどまったのが現実です。
フォレンジック現場で見た「訓練の落とし穴」
私がフォレンジック調査で関わった実際の事例をご紹介します。
ある中小企業で、定期的なフィッシング訓練を実施していたにも関わらず、経理担当者が巧妙な偽装メールに騙されて約500万円の不正送金被害に遭いました。調査を進めると、その担当者は「訓練で同じようなメールを見慣れているから大丈夫だと思った」と証言していました。
これがまさに研究で指摘された「警戒心の麻痺」現象です。反復訓練が過信を生み、実際の攻撃場面で注意力を低下させる悪循環が発生していたのです。
2025年の新たな脅威:生成AIによるパーソナライズドフィッシング
さらに深刻なのは、従来の訓練が想定していない新たな脅威の出現です。SlashNextのデータによると、ChatGPT登場後、フィッシング攻撃数が4,151%増加しています。
特に以下の攻撃が急増しています:
- QRコードを介した攻撃(前年比300%増)
- 深層偽造音声を用いたVIP詐欺
- 個人情報を悪用した高精度な偽装メール
実際に調査した案件では、攻撃者がSNSから収集した個人情報を使って、まるで同僚からのメールのように装った精巧なフィッシングメールが使われていました。従来の訓練では全く対応できない巧妙さです。
本当に効果的なセキュリティ対策とは
では、どうすればいいのでしょうか?CSIRTとしての経験から、以下の対策をお勧めします:
1. 技術的対策を最優先に
人間の判断に頼る前に、技術的な防御を強化することが重要です。高性能なアンチウイルスソフト
なら、最新のフィッシング手法も検知できます。
2. 多層防御の実装
メールセキュリティだけでなく、ネットワーク全体の保護が必要です。特に、リモートワークが増えた今、VPN
による通信の暗号化は必須です。
3. 訓練方法の見直し
もし訓練を続けるなら、以下の点に注意してください:
- 一方的な情報提示ではなく、インタラクティブな内容にする
- 反復訓練による「麻痺」を避ける
- 最新の攻撃手法に対応した内容に定期更新する
個人でもできる実践的な対策
企業のセキュリティ担当者だけでなく、個人の方も以下の対策を検討してください:
まず、信頼できるアンチウイルスソフト
を導入することで、怪しいメールやWebサイトから身を守ることができます。また、公共Wi-Fiを使用する際は、VPN
で通信を保護することが重要です。
フォレンジック調査を通じて痛感するのは、「完璧な人間はいない」ということです。どんなに訓練を受けても、疲れている時や忙しい時には判断ミスをする可能性があります。だからこそ、技術的な対策で人間の弱点を補完することが現実的なアプローチなのです。
まとめ:セキュリティの新しいアプローチ
この研究結果は、セキュリティの終焉を意味するものではありません。むしろ、人間の認知限界を理解し、それを技術で補完する新しいアプローチの必要性を示しています。
IBMの調査によると、フィッシング侵害の平均コストは488万ドルに上ります。効果が実証されない訓練への投資よりも、確実な技術的対策への投資が、リスクとコストの両面で優れた選択と言えるでしょう。
サイバーセキュリティの世界は日々進化しています。古い常識にとらわれず、科学的な根拠に基づいた対策を選択することが、真の安全につながるのです。
一次情報または関連リンク
Understanding the Efficacy of Phishing Training in Practice
