フィッシング攻撃は、インターネットを利用するすべての人に影響を与える、最も一般的でコストのかかるサイバー脅威のひとつです。これらの攻撃は、多くの場合、正規の電子メールを装い、人々を騙して機密情報を共有させたり、無意識のうちに有害なソフトウェアをダウンロードさせたりするもので、年間数十億ドルもの被害が発生している。
これに対抗するために、組織は DMARC(Domain-based Message Authentication, Reporting, and Conformance)に注目している。DMARCは、ほとんどのフィッシング詐欺の手口である電子メールのなりすましを防止するために設計された電子メール認証プロトコルである。しかし、その有効性にもかかわらず、多くの企業はまだDMARCを採用しておらず、電子メールベースの攻撃に対して脆弱なままになっている。
フィッシング攻撃に関連するリスクと、その防御におけるDMARCの重要性をより理解していただくために、最も一般的なフィッシングの手口、リスク、メールの脆弱性を悪用する手口を紹介します。また、フィッシング攻撃の主な原因であるなりすましメールから、DMARCがいかに効果的に組織を守ることができるかを説明します。
主なポイント
- 主要企業のDMARCカバー率は国によって大きく異なり、デンマークが59%でトップ。
- 銀行機関の41%がDMARCによる保護を欠いている。
- 25.5%のメール送信者が p=なしのメール送信者が、今後1年以内に、より強力なDMARCポリシーへのアップグレードを計画しています。
- 2024年第2四半期には、フィッシング攻撃の件数は877,536件に達した。
- 2024年中に大半の組織(94%)がフィッシング攻撃の被害に遭っている。
- フィッシング・メールに引っかかるのに60秒かかる。
- 製造業における初期感染経路のトップはフィッシングで、インシデントの39%を占めた。
- AIを使えば、わずか5分もあれば欺瞞的なフィッシング・メールを作成できる。
トピックス
- サイバー犯罪統計の概要
- DMARC統計
- フィッシング統計
- 業界別フィッシング攻撃
- AIとフィッシング
- 意識向上と予防
サイバー犯罪統計の概要
長年にわたる世界的なサイバー攻撃の数は、私たちに明確で単純でありながら恐ろしい物語を伝えてきた。
2016年当時、全世界で約430万件の攻撃が見られたが、わずか5年でその数字は1900万件以上に達した。これは劇的な飛躍であり、特に2020年から2021年にかけては、パンデミックにより多くの人々がオンラインに移行したためである。2022年と2023年は若干減少し、昨年は1,670万件の攻撃が報告されたが、サイバー脅威は依然として問題である。
フィッシング詐欺が主導権を握る
すべてのサイバー攻撃が同じように作られているわけではなく、データを種類別に見ると、いくつかの興味深いパターンが浮かび上がってくる。
フィッシング攻撃は世界的に人気を博しており、2016年の0.44百万件から2023年にはほぼ9百万件になる。フィッシングが2019年から2021年頃に大きく急増する(393万件から895万件へ)のは、パンデミックの間、多くの人々がすでにデジタルのみのコミュニケーションに適応し、神経を尖らせていた時期と重なる。
個人情報漏えいが2位、次いで未払い・未配達のケース
個人情報漏えいは2位で、全世界で166万件、次いで150万件の未払い/未配達事件が続いた。その他の攻撃は以下の通り:
- 恐喝- 139万ドル
- 投資詐欺- 118万ドル
- 技術サポート- 110万ドル
- 個人情報盗難- 0.59百万ドル
- クレジットカード詐欺- 0.41百万ドル
増加するサイバー犯罪のコスト(2018~2029年)
サイバー攻撃はますます巧妙になり、それに伴ってコストも増大している。2018年、世界のサイバー犯罪コストは8,600億ドルと推定された。2024年まで早送りすると、推定9兆2200億ドルで、わずか5年で10倍近くになる。予測によれば、この傾向は続き、2029年には15兆ドル以上に達する可能性があるという。
米国におけるサイバー犯罪の種類別内訳
米国では、2023年に最も報告されたサイバー犯罪の種類はフィッシングであり、約30万人に影響を与えた。これは上記の世界的なデータと一致しており、フィッシングは依然として最も一般的で被害が大きい攻撃タイプの1つである。
その他の主な攻撃タイプ
- 個人情報漏洩 55,000人以上に影響。
- 未入金・未配達詐欺について:約5万人に影響。
- 恐喝:米国では約48,000人が恐喝未遂を報告。
世界のサイバー犯罪
世界的に、サイバー犯罪は以下のような影響を及ぼしている。 世界的に、サイバー犯罪は成人のかなりの割合に影響を及ぼしている。例えば、オンライン成人の41%が、自分のデバイスでウイルスやマルウェアに感染したと報告している。フィッシング詐欺も一般的で、約30%のユーザーが影響を受けており、モバイル/SMS詐欺では35%が影響を受けている。
フィッシングを超えるサイバー犯罪
フィッシングが注目される一方で、他の攻撃も広がっている。ソーシャルメディアや電子メールのハッキングは、オンライン成人の約23〜20%に影響を及ぼしており、攻撃者がより脆弱な個人アカウントをターゲットにする傾向が強まっていることを示している。ランサムウェアや出会い系アプリのハッキングも増加しており、人々が直面する脅威の種類に新たな層が加わっている。
DMARC統計
上記の脅威が進化するにつれて マネージドDMARCソリューションは重要なツールとなりつつあります。DMARCソリューションは、疑わしい活動を監視し、正当なメッセージが混乱なく宛先に届くようにすることで、企業のメールセキュリティ強化を支援します。
の要求に従って グーグルおよび ヤフーグーグルやヤフーを通じて5,000通以上の電子メールを送信する企業は、DMARCを採用し、最新の認証基準に準拠する必要があります。この動きにより Gmailへの未認証メールの最新データによると、認証されていないメールは65%減少した。
この傾向を裏付けるように、2024年の電子メール配信の状況は、DMARCの採用が11%増加し、2023年の42.6%に比べ53.8%に達することを示しています。
この要件は、メールマーケティング担当者だけでなく、すべての企業、特にSPF、DKIM、DMARCの導入で遅れをとっている企業に追いつくことを強いるものと予想されます。2024年末までに、従業員1,000人以上の大企業の70%がDMARCポリシーを導入し、メールセキュリティが大幅に強化されると予測されています。
DMARC実装統計
最新のDMARC統計によると DMARCの採用は過去1年間で倍増し、2024年には毎月55,000から110,000の新しいドメインに増加している。
また、100万以上のウェブサイトを調査したところ、DMARCの採用率は依然として低く、有効なDMARCレコードを持つのはわずか33.4%に過ぎないことがわかった。
国別のDMARC適用範囲
主要企業のDMARCカバー率は国によって大きく異なり、デンマークが59%でトップ。次いで米国が2位となっているが、米国企業のドメインの半数近くがまだDMARCによる保護を受けていない。
DMARCのカバー率が最も高い国でも59%を超えておらず、世界的な電子メール詐欺やなりすましに効果的に対処するために必要なレベルには達していない。
の追加データによると PowerDMARCの追加データによると、スイスは44.2%のドメインが適切なDMARCレコードを持ち、その普及率は平均をわずかに上回っている。PowerDMARCの調査結果によると、マレーシアとクウェートはそれぞれ39.5%と41.25%のカバレッジで続いている。一方、カタールとチリはさらに遅れており、同データによると、各国のドメインのうち、正しく設定されているのはそれぞれ35.15%と35.9%に過ぎない。
業種別DMARC適用範囲
DMARCの採用傾向は改善しているものの、銀行のような重要なセクターでは、電子メールのセキュリティに依然として憂慮すべきギャップが見られます。
銀行機関の41%がDMARCによる保護を受けておらず、顧客はフィッシングや金融詐欺の被害に遭いやすい。銀行業界のDMARC導入率は他業界と比べて最も高いものの、現在の保護レベルは機密性の高い通信を保護するには不十分です。
他の業界はもっと悪い:
- のみ 保険会社と法律事務所の52%だけががDMARCを導入している。
- 航空、半導体、コンピューター・ソフトウェア、金融サービスなどのセクターは、45%をわずかに上回っている。 45%をわずかに上回っている。
DMARCポリシーの動向
DMARCの実装に関しては、ほとんどのドメインで厳格な実装が行われておらず、セキュリティ上の利点が十分に発揮されていない。過半数(68.2%)が "なし"DMARCポリシーこれは、DMARCチェックに失敗したメールが制限なく配信されることを許可するものです。12.1%だけが"隔離「を使用しているのはわずか12.1%に過ぎない。拒否"ポリシーで非準拠のメールをブロックしている。
のような厳格なポリシーを採用しているが p=隔離または p=拒否のような厳格なポリシーを採用することは、エンフォースメントには不可欠であるが、多くの企業はこのシフトに躊躇している:
- p=noneを使用している送信者の25.5の送信者が、今後1年以内に、より強力なDMARCポリシーへのアップグレードを計画している。
- 61%は、法規制や事業上の必要性がある場合にのみポリシーを更新する。を更新する。
- 13%はすでに現在のDMARC要件を満たしているため、ポリシーを強化する予定はない。
DMARCの統計だけでなく、増大するフィッシング詐欺の脅威にも目を向ける必要があります。
見てみよう!
フィッシング統計
2024年6月10日午後12時37分、その年のフィッシング活動のピークを迎えた。この日は フィッシング・メールこの日、フィッシング・メールが急増した。
4月1日から6月30日の間に、フィッシングメールは2024年の第1四半期と比較して28%急増した。詐欺師は、"緊急"、"署名"、"パスワード"、"文書"、"配達 "などの注意を引く言葉や、"支払い"、"電信送金"、"BACS"、"クレジット"、"購入 "などの金融用語を多用して人々を誘い込んだ。
フィッシングの手口がいかに巧妙になり、個人情報や金融情報を狙うようになったかを思い知らされる。
電子メールフィッシング統計
2022年1月から2023年12月までの時系列を分析すると、電子メールによるフィッシング攻撃が増加傾向にあることがわかる:
2022年の初期トレンド
- 2022年1月、検出されたフィッシングメールの数は以下の通りであった。 144万通.2022年5月 2022年5月フィッシング攻撃は増加し 432万件.年央のピークの後 11月はやや減少し 376万しかし、それでも1月をはるかに上回っている。
2023年のエスカレーション
- 2023年1月計上 368万通フィッシング・メールは368万通を記録した。2022年 2023年4月には、その数はさらに増えて 467万通となった。2023年7月にはわずかに減少し 454万とわずかに減少したが、すぐに 559万2023年 2023年9月.2023年 2023年12月フィッシング攻撃の数は 945万件-a 70%増加した。
フィッシング・サイトの経年的傾向(2013年~2024年)
ユニークなフィッシング・サイトの数はここ数年変動しており、2022年から2023年初頭にかけて顕著なピークを迎え、毎四半期100万以上のサイトが検出された。この急増の後、2023年第3四半期から2024年第2四半期にかけては着実に減少し、約87万7536サイトに減少している。 サイトまで減少している。
フィッシングで狙われるオンライン産業分野(2024年第2四半期)
2024年第2四半期におけるフィッシング攻撃の標的は、ソーシャルメディア(32.9%)が最も多く、次いでSaaS/Webメール(25.6%)、金融機関(10%)となっている。これらの部門は、これらのプラットフォームに関連する大規模なユーザーベースと貴重なデータのために狙われている可能性が高い。
フィッシング攻撃の被害が最も多い国トップ10(2024年)
2024年、フィッシング攻撃は世界中のユーザーを標的にしており、特定の国ではこのようなサイバー脅威の割合が高い。ベトナムが18.9%でトップ利用者のでトップ、次いでペルーの16.7%、台湾の15.5%となっている。
フィッシングに使われるトップレベルドメイン
フィッシング・サイトは正規のものに見せかけるため、馴染みのあるTLDを使用することが多いが、新しいTLDが台頭してきている。2023年、フィッシング攻撃で最もよく使われたTLDは「.com」(19.65%)で、「.club」(5.79%)や「.top」(5.46%)といった代替TLDがこれに続いた。
ブランドを標的としたフィッシング (2009-2024)
フィッシングの標的にされたブランド数は時間の経過とともに増加し、2022年には約621で最高値を記録した。その後、2023年と2024年にかけて徐々に減少しているが、これはブランドのモニタリングやフィッシング詐欺の防止技術の向上、あるいは攻撃者の手口の変化による可能性がある。
オンライン・フィッシングで最も偽装されたブランド
フィッシングについて確実に分かっていることは、攻撃者はフィッシングが成功する可能性を最大化するために、世界的な顧客基盤を持つ有名ブランドに焦点を当てているということである。つまり、2023年にオンラインショッパーに対するフィッシング攻撃でなりすまされたブランドのトップはアマゾン(34%)であり、アップル(18.6%)とネットフリックス(14.7%)も高い標的となっている。
ほとんどがSaaSブランドになりすましている:
- セールスフォース
- Notion.so
- ボックス
- 1パスワード
- ズーム
- ラピッド7
- マルケト
- サービスナウ
- ネットスイート
- ワークデイ
最も多かったのは、金融サービス・ブランドになりすましたものだった:
- マスターカード
- トゥルーイスト・ファイナンシャル
- インベステック
- ゼネラリ・グループ
- ビットコイン
- オープンシー
- バンク・オブ・アメリカ
- バイナンス
- ビザ
- 全国
ソーシャルメディア・ブランドのなりすましが最も多い:
- ユーチューブ
- フェイスブック
- インスタグラム
- ピンタレスト
- パーラー
- ツイッター
- リンクトイン
- ディスコード
- レッドディット
欧州・中東・アフリカ(EMEA)のブランドで最も多くなりすまされている:
- 世界保健機関
- ルイ・ヴィトン
- インベステック
- シャネル
- ゼネラリ・グループ
APACで最もなりすまされているブランド:
- ライン
- JCBグローバル
- インド国立銀行
- トヨタ
- 東芝
ほとんどがラタム航空のブランドになりすました:
- ブラデスコ銀行
- アテント
- ラタム航空
- カリフォルニア・スーパー
- ロカウェブ
業界別フィッシング攻撃
フィッシングは様々な業界において主要な攻撃経路としての地位を確立しており、2024年には94%の組織が1つ以上のフィッシング攻撃の標的となっている。攻撃者はフィッシングを悪意のある活動の一般的な入口として活用しており、特に製造、金融、政府、運輸などの分野では、常に初期感染手法の上位にランクインしています。
各業界における攻撃ベクトルとしてのフィッシングの位置づけをまとめてみた:
- 製造業最初の感染経路のトップはフィッシングで、以下の通りであった。 39%を占める。
- 金融と保険 最初の感染経路として最も一般的だったのはフィッシングで、その割合は次のとおりです。 28%を占める。
- プロフェッショナル、ビジネス、消費者サービス 最初の感染経路として2番目に多かったのはフィッシングで、その割合は次のとおりです。 31%を占めています。
- エネルギーこの業界では、フィッシングが感染経路の上位に挙げられていない。主な感染経路は、公開アプリケーションの悪用、有効なローカルアカウント、リムーバブルメディアを介した複製でした。
- 小売・卸売業フィッシングは、公衆向けアプリケーションの悪用と並んで、感染経路として同率2位を占めています。 29%を占めています。
- ヘルスケア フィッシングは3番目に多い感染経路であり、20%を占めた。 20%を占める。
- 政府機関感染経路のトップはフィッシング 40%を占める。
- 交通機関フィッシングは、公衆向けアプリケーションの悪用と並んで、最初の感染経路のトップであり、それぞれ次のような割合を占めています。 50%を占めています。
- 教育フィッシングは、有効なアカウントの使用と並んで、最初の感染経路の上位に挙げられている。
フィッシングの地理的傾向
フィッシング攻撃が特に顕著な地域もあれば、異なる手口が主導権を握る地域もある。地域差はあるものの、フィッシングは依然として世界的に重要なアクセス方法である。
2023年における各地域の初期アクセスベクターとしてのフィッシングの順位は以下の通り:
- ヨーロッパ フィッシングは有効なアカウントの使用と結びついており、それぞれが以下の割合を占めている。 30%を占める。
- 北米 フィッシングは最初のアクセスベクターとして3位にランクされた。 27%を占める。上位2つは有効なアカウントの使用 (41%) と 公開アプリケーションの悪用 (32%).
- アジア太平洋地域フィッシングが最初の感染経路のトップで、その割合は次のとおりです。 36%を占める。
- ラテンアメリカ フィッシングが有効なアカウントの使用と同率で2位となった。 22%を占めている。
- 中東およびアフリカこの地域では、フィッシングは最初のアクセス方法として上位に挙げられていない。主なアクセス手段は、有効なローカルアカウント(52%と有効なクラウドアカウント(48%).
フィッシング攻撃の発信国
最新のデータによると、フィッシング攻撃の主な発信元は米国を筆頭に、いくつかの主要国に集中している。これは、その広範なデジタル・インフラがサイバー犯罪者に多くの潜在的被害者へのアクセスを提供しているためである。
その他の主なフィッシング攻撃元は、英国、ロシア、ドイツ、カナダ、オランダ、ポーランド、中国、シンガポール、オーストラリアである。
AIとフィッシング攻撃
2024年の調査によると、ITリーダーの95%が、サイバー攻撃はかつてないほど巧妙になっていると報告している。この調査では、AIを利用した攻撃が近年51%増加していることを強調している。この変化により、多くのITリーダーが脆弱性を感じており、35%がこのような攻撃に効果的に対抗する能力について懸念を表明している。
AIが生成するフィッシングで時間短縮が進む
手作業で作られたフィッシングメールの作成には平均16時間かかる。しかし、AIを利用すれば、わずか5分程度で欺瞞的なフィッシングメールを作成することができるため、サイバー犯罪者は1通あたり2日近くも時間を節約することができる。この効率の飛躍は、最小限の時間投資で大規模な攻撃を可能にする。
意識向上と予防
ユーザーがフィッシングメールに引っかかるまでの時間の中央値は驚くほど早く、60秒未満であることが多い。
調査によると、ヒューマンエラーは重大な脆弱性であり、全侵害の74%に関与している。セキュリティ・トレーニングを受けているにもかかわらず、人々は染み付いた習慣や巧妙なソーシャル・エンジニアリングの手口により、フィッシング・リンクをクリックしてしまう可能性が高い。
従業員の4人に1人しか、各チャネルにおけるフィッシングの脅威への対策は万全だと感じていない。この問題をさらに深刻にしているのは、従業員から正確に報告されたフィッシングメールはわずか29%に過ぎず、意識と検知スキルの両方にギャップがあることだ。
フィッシング攻撃を防ぐソリューション
サイバーセキュリティを完全に保護することは不可能ですが、迅速な検知と対応により、組織とその顧客への侵害の影響を劇的に軽減することができます。幸運なことに、DMARCはこの問題に対する本質的な解決策を提供します。
最近のDMARCの統計は、DMARCがメールセキュリティに与える影響を如実に示しています。新しい送信者要件を実装して以来、Gmailでは配信される認証されていないメッセージが65%減少しました。この大幅な減少は、詐欺メールの減少におけるDMARCの有効性を実証しています。
しかし、それだけにとどまらない!50%以上の大量送信者がベストセキュリティプラクティスの遵守を開始し、DMARCと関連プロトコルが業界全体で広く採用されていることを示しています。おそらく最も顕著なのは、DMARCがグローバルなEメールエコシステムにもたらした変化の規模であり、2024年には認証されていないメッセージの送信が2650億件減少すると言われています。
DMARCとは何かを完全に把握するためには、まずその基礎となる構成要素を理解することが重要である: SPFとDKIM.
SPF(センダー・ポリシー・フレームワーク)は、ドメイン所有者が、自分のドメインに代わってメールを送信することを許可されたIPアドレスを定義できるようにするメール認証プロトコルです。
DKIM (DomainKeys Identified Mail) は、各メールにデジタル署名を追加することで機能します。この署名はメッセージの完全性を保証し、認証されたサーバーから送信された後に変更されていないことを証明します。
DMARCは、SPFとDKIMの両方をベースにして、電子メール受信者に認証に失敗したメッセー ジの処理方法を指示するポリシー・レイヤーを導入している。DMARCは、メッセージがドメインの認証慣行と一致していることを保証し、不一致を報告する方法を提供する。
MTA-STSとBIMIによる電子メールセキュリティの強化
DMARCは電子メール認証において重要な役割を果たしていますが、MTA-STS (メール転送エージェント厳密転送セキュリティ)やBIMI(メッセージ識別のためのブランド・インジケータ).
MTA-STSは、電子メール送信に厳格なセキュリティポリシーを適用し、電子メールが安全な暗号化チャネルで送信されるようにします。これにより、Eメールが転送中に傍受されたり、改ざんされたりするリスクを排除し、保護レイヤーをもう1つ増やします。
一方、BIMIはブランドにとって、電子メールのセキュリティとブランド認知度の両方を高めるまたとない機会を提供する。BIMIは、認証された電子メールの隣に受信トレイに組織のロゴを表示できるようにすることで、受信者に正当性を視覚的に確認できるようにする。これにより、ブランドのアイデンティティが強化されるだけでなく、顧客との信頼関係も向上し、受信トレイが混雑している中でも真正な通信を迅速に識別できるようになります。
マニュアル導入の課題
DMARC、MTA-STS、およびBIMIは明確な利点を提供するが、これらのプロトコルの手動実装は複雑でエラーが発生しやすい。
これらのプロトコルを設定するには、特にDNSレコードの設定やフィードバック・レポートの分析など、深い技術的知識が必要です。専門家による監視がなければ、企業は電子メールシステムを潜在的な脅威にさらす危険性があります。
このような複雑さを考えると、手作業での導入はほとんどの企業にとってもはや現実的ではありません。そこで、PowerDMARCのような自動化され管理された電子メール認証サービスの出番となる。
PowerDMARC は、DMARC、MTA-STS、および BIMI を設定および維持するための合理化されたソリューションを提供し、技術的な負担なしにこれらのプロトコルを完全に活用できるようにします。PowerDMARC は、導入を簡素化するだけでなく、継続的な監視、リアルタイムの洞察、専門家によるサポートを提供し、電子メールセキュリティが堅牢かつ最新の状態に保たれることを保証します。
PowerDMARCの特徴は?
数多くの受賞歴、熱烈な推薦の声、そして実績があります、 PowerDMARCは、電子メールセキュリティの強化を求める世界中の10,000以上の顧客から信頼されています。のお客様に信頼されています。
G2は、PowerDMARCを2024年秋のDMARCソフトウェアのリーダーとして認定し、トップクラスの電子メール認証ソリューションを提供する当社の献身を強調しました。
お問い合わせに切り替えてください。 PowerDMARC今すぐご連絡ください。ビジネスを保護し、信頼を築き、コミュニケーションの安全性を確保しましょう。
お客様の声
"集約された DMARCレポート他のすべての機能が含まれているため!"
ドリュー・サウム(ADIサイバーサービスCEO)
"最も包括的で優れたサポート"
ベン・フィールディング、フラクショナルCTO
"PowerDMARCは私たちのITチームを大きく変えました!"
HispaColex Tech Consulting IT マネージャー Sebastián Valero Márquez 氏
"PowerDMARCを全クライアントに導入して以来、DNSサービスを管理していなくても、オンボーディング、モニタリング、変更のプロセスが非常に簡単になりました。."
Reformed IT 共同設立者兼 CEO Joe Burns 氏
最終的な感想
フィッシングは深刻でコストのかかる脅威であり、攻撃は特にAIによってより巧妙になっている。残念なことに、多くの組織はまだ十分な備えができておらず、高度な電子メールフィルター、定期的な従業員トレーニング、安全なログインプロトコルといった本質的な防御が遅れているため、こうした攻撃に対して脆弱なままになっている。
DMARC(ドメインベースのメッセージ認証、報告、適合性)の導入は、企業が取ることのできる強力なステップの1つです。DMARCを導入することで、受信メールが本当に送信者から送られてきたものかを確認することができ、受信トレイに届く前に多くのフィッシング詐欺をブロックすることができます。
しかし、ますます巧妙化する手口に対して真に先手を打つためには、企業はDMARCに警戒監視、継続的な脅威教育、さまざまなセキュリティツールを組み合わせた多層的なアプローチを採用する必要があります。たった一通のフィッシングメールが隙を突けば深刻な事態を招く可能性があるため、企業は常に警戒を怠らず、継続的に防御を強化することが重要です。
情報源
- 2025年に「SPFレコードが見つかりません」を修正する方法- 2025年1月21日
- DMARCレポートの見方- 2025年1月19日
- MTA-STSとは?正しいMTA STSポリシーを設定する- 2025年1月15日