Proofpointが発表した「Asia-Pacific 2023 State of the Phish」(アジア太平洋における2023年のフィッシング攻撃に関する状況)レポートによると、アジア太平洋および日本(APJ)地域の大半の企業がフィッシング攻撃やランサムウェア攻撃に対する防御策を講じる必要に迫られており、ランサムウェア攻撃の被害に遭って身代金支払い要求に応じる割合が最も高いのはオーストラリアの企業だという。
同レポートによると、オーストラリアの企業はこの種の攻撃を受けたとする割合が最も高く、92%がフィッシング攻撃を、そして90%がビジネスメール詐欺(BEC)攻撃を受けたと答えている。また86%がランサムウェア攻撃を、そして80%がサプライチェーン攻撃を受けたと回答している。このレポートの基になった調査は、シンガポールと韓国、日本、オーストラリアの企業の従業員2000人とセキュリティプロフェッショナル200人を対象にして実施された。
この種の攻撃がオーストラリアに次いで多かったのはシンガポールであり、85%がフィッシング攻撃、78%がランサムウェア攻撃を受けたと回答している。また72%はBEC攻撃を、46%は直接的な金銭的被害を受けたとしている。さらに68%はサプライチェーン攻撃を受けたと回答している。
しかし、ランサムウェア攻撃を受けた組織のうち、感染した割合はシンガポールと日本が68%で最も高い。一方、オーストラリアではこの割合は58%だったが、感染した組織のうち少なくとも1度は身代金を支払ったとした割合は最も高い90%となった。シンガポールは71%、韓国は63%だった。日本の場合、少なくとも1度支払った企業の割合は18%で、世界平均が64%となっている中、最も低い割合となっている。
同レポートによると、日本国内の企業は法律により組織犯罪に金銭を支払うことを禁止されており、サイバー犯罪も同様の扱いになると考えられている。またProofpointは、フィッシング攻撃の被害を報告した回答者の割合は世界平均が84%であるのに対し、日本は64%と最も低い値となっている。その理由として同社は、サイバー犯罪者側に日本語の作文能力が欠如しているため、日本の従業員であれば容易にフィッシングメールの不自然さに気付くのではないかと推測している。
同レポートには「世界全体を見た場合、フィッシング攻撃で最も多用されている言語は英語であるため、英語とは無縁の企業はある意味において保護されている」と記されている。しかし、一部の国ではセキュリティ侵害が発生したことを認めようとしない文化的土壌により、報告件数が実態を下回る可能性もあるとも強調されている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
