サイバー攻撃の9割は電子メールから

～古典的手法なれど「騙しのテクニック」は日々進化～

投稿：舩生好幸（ISACA認定CISA、IPA登録 セキュリティプレゼンター）2023.6.20

（更新：2024.8.20）

以前受講した情報セキュリティ関連の研修の中で、

「サイバー攻撃の9割が電子メールを介して行われる」

という話題がありました。

電子メールがきっかけとなるサイバー攻撃の割合が、個人的に思っていた以上に高い数値であったので印象に残りました。

以下、上記の研修時に知った情報にネット上の情報も補足しつつご紹介します。

＊日本経済新聞（2021.5.21）：

・出典：https://www.nikkei.com/article/DGXZQOUE13DRP0T10C21A5000000/

「コンピューターウイルスを拡散する『偽メール』の脅威がかつてなく高まっている。20年以上前に登場した古典的手法だが、多様な犯罪の『入り口』をこじ開ける役割を果たし、サイバー攻撃のきっかけの9割を占めるともいわれる。だましの精度は進化を続け、誰もがリスクと無縁ではいられない。」

＊ZDNET-Japan／日本プルーフポイント（株）（2018.11.26）：

・出典：https://japan.zdnet.com/paper/20172649/30002878/

「昨今メールを介したサイバー攻撃が増加しており、企業に打撃を与えるサイバー攻撃の実に9割が、メール経由で行われていることが明らかになっている。またランサムウェアのマルウェアが送られてくるケースは依然として多いものの、最近の傾向として顕著なのがマルウェアを使用しない攻撃手法の増加だ。

その最たるものが、CEOやCIO、あるいは実在する取引先などからのメールを装い、不正に送金させられるBEC（ビジネスメール詐欺）の手法の拡大である。」

＊トレンドマイクロ：

「企業への脅威のうち90%以上がメールによる攻撃」

・出典：https://www.trendmicro.com/ja_jp/business/products/user-protection/sps/email-and-collaboration/email-security.html

等々、ネット上を探すとたくさんの情報が出てきます。

上記の引用にもあるとおり、偽メールを使ったサイバー攻撃は、20年以上前から存在する”古典的手法”ですが、マルウェア添付や企業の経営層へのなりすましなど、メール上で駆使される「騙しのテクニック」は日々進化を続けています。

以前はたどたどしい日本語で、読めばすぐにわかった偽メールの文章も、少しずつ自然な文章に近づき、一見して偽物か本物か区別がつきにくくなってきています。

生成AIを悪用して作成される偽メールのさらなる増加も予測されています。

残念ですが、最新技術がサイバー攻撃や犯罪に応用されることで私達が被害にあうリスクは高まっていると言えます。

〇フィッシング詐欺の報告件数は5年で20倍以上に・きっかけは偽メール＆偽SMS

また、2024年3月14日に公開された警察庁の「令和５年におけるサイバー空間をめぐる脅威の情勢等について」P.14にて、フィッシングの報告件数の推移をみると。

・令和1年（2019年）の55,787件から、

・令和5年（2023年）は1,196,390件へと、20倍以上の増加を示しています。

フィッシング詐欺は、攻撃者が実在する企業や官公庁等を装うメール又はショートメッセージサービス（ＳＭＳ）を送り、受信者が偽サイトを閲覧するよう誘導し、偽サイト上でアカウント情報や口座番号、クレジットカード番号等を不正に入手する手口です。

「盗まれた」情報が悪用され、ネットバンキングでの不正送金や、クレジットカードの不正利用等をまねくリスクがあります。

〇「サイバー攻撃や情報セキュリティなんて、私には関係ない」では済まされない現実

もしも、現在お使いのPCやスマートフォンが、ウイルスに感染して一切の操作を受け付けなくなってしまったらどうでしょうか。

あるいは、不審なメールを無造作に開き、記載されたURLの偽サイトを訪問したことがきっかけで、ネットバンキングでの不正送金や、クレジットカードの不正利用等の被害を被るとしたらいかがでしょうか。

日々送られてくる電子メールが、本当に信じてよい内容であるか。信じてよい相手からのものか、

また、メールにファイルが添付されていたら、本当に開封してよいものかどうか、など、

常に注意を怠らない姿勢、そして必要な対策の実施が、一般の個人のレベルにまで求められている、と改めて思います。

〇日頃から、基礎的な情報セキュリティ対策を実施しましょう

日頃からサイバー攻撃に備えるためにも、OSやソフトウェアの定期的、あるいは速やかなアップデートや、ウィルス対策ソフトの導入などにご留意ください。

情報セキュリティ対策を実施する必要性は、IT機器を利用する方なら誰にでもあります。

また、情報セキュリティ上の脅威や、サイバー攻撃の手口などの最新の情報を知ることにもご留意ください。

（関連する過去ブログ）

・OSやソフトウェアを最新化しましょう

　 https://www.primary-f.net/post/os-and-software-updates

・ウイルス対策ソフトを導入しよう

　 https://www.primary-f.net/post/necessity-of-antivirus-soft

・脅威や攻撃の手口を知ろう！

　https://www.primary-f.net/post/learn-about-threats-and-attack

（Primary-f／向実庵　代表）

＜ご案内＞

Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びＩＰＡが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。

詳しくはこちらよりお入りください。