業界別のフィッシング詐欺「ヒット率」が明らかに 高リスク業界はどこか

KnowBe4はフィッシング詐欺に対する脆弱性を分析する2024年度版レポートを発表した。どの業種が危険なのか。

[後藤大地，有限会社オングス]

　KnowBe4は2024年6月13日、フィッシング詐欺に対する脆弱（ぜいじゃく）性を分析する2024年度版レポートを発表した。全業種の従業員の34.3%が疑わしいリンクをクリックする可能性があり、2023年のレポートと比較して1%以上増加していることが判明した。業界別の分析では、フィッシング詐欺に遭いやすい業界とその傾向が明らかになっている。

KnowBe4、2024年度フィッシングベンチマーキングレポートをリリース 業種、企業規模別の騙されやすさの統計｜KnowBe4 Japan 合同会社のプレスリリース（出典：PR TIMESのWebサイト）

業界別フィッシング脆弱性を分析、騙されやすいのは？

　KnowBe4が発表したレポートでは、業界別および企業規模別にフィッシング詐欺に対する脆弱性を示す「Phish-prone Percentage」（以下PPP：フィッシング詐欺ヒット率）が分析されており、業種、企業規模別の「騙されやすさ」の統計結果が示されている。

　調査のベースラインテスト（トレーニング開始前の実態調査）では、全業種の従業員の34.3%が疑わしいリンクをクリックしたり、不正な要求に応じたりする可能性があることが分かった。2023年のレポートと比較して1%以上増加しており、サイバー脅威の巧妙化に伴い人的リスクの軽減と組織内のセキュリティ文化の構築が重要であることが示されている。

　ベースラインテストの後、フィッシングテストと継続的なトレーニングを実施することで、90日後にはPPPスコアは18.9%、1年後には4.6%まで改善されたことが報告されている。この結果はセキュリティ文化の醸成において、従業員の既存の習慣をより安全な行動に変える必要があることを意味する。従業員が新しい行動を受け入れ、習慣化することで、最終的に日常業務でセキュリティを優先するという組織的な文化につながるとしている。

　レポートではｍPPPスコアが高く、サイバー脅威に特に脆弱な業界についても取り上げられている。

　特に医療・介護および製薬業界（Healthcare & Pharmaceutical）は、小規模組織で34.7%、大規模組織で51.4%と高いPPPスコアを示しており、「高リスク」のカテゴリーにあり、セキュリティ意識向上トレーニングが切実に必要と評価された。中規模組織では、ホテル・観光業（Hospitality）が39.7%で最も脆弱な業界だった。

　レポートではサイバーセキュリティにおける人的要素の重要性が強調されている。データ侵害の大きな要因となっているのは依然として人為的ミス「ヒューマンエラー」であるとし、組織は、ヒューマンファイアウォールの強化に注力し続ける必要があると述べている。また特定の業界におけるAIの急速な導入も取り上げられており、強力なサイバーセキュリティ対策を講じない場合には、新たなセキュリティリスクを生み出すと警告している。

　詳細は、KnowBe4の業界別フィッシングベンチマーキング調査レポート（英語版）で確認できる。日本語版も現在作成中であり、近日中にリリースが予定されている。