Last Updated on 2024-11-26 07:51 by admin
金融サービス情報共有分析センター(FS-ISAC)が2024年11月19日、「フィッシング防止フレームワーク」を発表した。このフレームワークは、データ収集、防御、顧客とのコミュニケーションにおけるベストプラクティスで構成されている。
- 3つの米国銀行でパイロットプログラムを実施し、フィッシング被害の報告件数が50%減少
- パイロット参加銀行の1つでは、不正報告(abuse box)が90%減少
- 2023年の米国におけるフィッシング関連犯罪の報告件数は約30万件
- フィッシングとプリテキスティングは、全ソーシャルエンジニアリング攻撃の31%と40%を占める
- 電話を使用したフィッシング攻撃(音声フィッシングやSMSフィッシング)は全体の23%を占める
フレームワークの4つの主要アクション
- インテリジェンスの収集と共有
- 従業員と顧客の教育
- コミュニケーションチャネルの分類化
- アンチフィッシング技術の活用
プログラムの責任者はFS-ISACのグローバルコミュニティエンゲージメント担当エグゼクティブバイスプレジデント、リンダ・ベッツ氏が務めている。
from:Phishing Prevention Framework Reduces Incidents by Half
【編集部解説】
金融業界が直面しているフィッシング攻撃の実態は、私たちが想像している以上に深刻なものとなっています。今回FS-ISACが発表したフレームワークは、単なるガイドラインではなく、実践的な成果を上げた対策をまとめたものとして注目に値します。
特筆すべきは、このフレームワークが理論だけでなく、実際の成果を伴っているという点です。パイロットプログラムに参加した銀行での50%という削減率は、フィッシング対策における大きなブレークスルーと言えるでしょう。
さらに興味深いのは、このフレームワークが従来の「取引監視」から「攻撃の発生源への対処」へとアプローチを転換している点です。これは、サイバーセキュリティの分野における重要なパラダイムシフトを示しています。
現代のフィッシング攻撃の特徴として、電話を使用した攻撃(音声フィッシングやSMSフィッシング)が急増していることが挙げられます。2021年にはマイナーな問題でしたが、現在では全フィッシング攻撃の23%を占めるまでに成長しています。
特に注目すべきは、攻撃者の手法の進化スピードです。OpSec Securityのマシュー・ハリス氏が指摘するように、攻撃者は企業よりもはるかに速いスピードで戦術を変更することができます。
このフレームワークの実装には時間がかかる可能性がありますが、金融機関だけでなく、あらゆる業界で応用可能な方法論を提供しています。
人工知能(AI)の発展により、フィッシング攻撃はさらに巧妙化することが予想されます。実際、95%以上の専門家が、大規模言語モデル(LLM)の登場によってフィッシング攻撃の検出が一層困難になると考えています。
このような状況下で、FS-ISACのフレームワークは、組織全体での情報共有と、テレコム事業者との協力という新しいアプローチを提示しています。これは、今後のサイバーセキュリティ対策のモデルケースとなる可能性を秘めています。