昨年送信された全メールの半数に達する45%が違法スパムであることが判明した。
グローバルセキュリティ企業のカスペルスキーは、昨年の世界全体のメールトラフィックの44.99%がスパムだったと26日に明らかにした。スパムは単なる不要な広告メールだけでなく、詐欺、フィッシング(個人情報の窃取)、マルウェア(悪性コード)など、さまざまなメール起点の脅威を含む。
カスペルスキーによると、昨年は個人と企業の従業員が1億4,400万件を超える悪性または不要なメール添付ファイルに接触した。前年比で15%増加した数値である。
地域別ではアジア太平洋(APAC)地域のメール脅威検知比率が30%で最も高かった。国別では中国とロシアの検知比率が高かった。続いて欧州(21%)、南米(16%)、中東(15%)の順である。
人工知能(AI)の拡散によりメール攻撃は一段と巧妙化する傾向にある。カスペルスキーは「最近のメール攻撃は、メールをメッセンジャー・電話などと連携して追加接触を試みたり、QRコードやリンク保護サービスでフィッシング先アドレスを隠すなど、多様な回避手法が活用されている」と説明した。
またOpenAIのChatGPTのような合法的なAIプラットフォームを悪用する事例も捉えられた。カスペルスキーは「OpenAIの組織作成やチーム招待機能を悪用してスパムメールを送信する詐欺手口を確認した」とし、「ビジネスメール詐欺(BEC)の手口まで高度化するなど、脅威行為者が一段と精巧で多層的な攻撃方式を用いている」と述べた。
ロマン・デデノク カスペルスキーのアンチスパム専門家は「メールのフィッシングを過小評価してはならない」と述べ、「企業を狙う攻撃の10件に1件はフィッシングで始まり、その相当数が高度標的型の持続的脅威(APT)だ」と語った。さらに「生成AIの商用化はこうした脅威を大きく増幅した」とし、「いまや特定の攻撃対象に合わせてトーン、言語、文脈などを自動で調整し、説得力がありパーソナライズされたフィッシングメッセージを大規模に作成できるようになった」と述べた。
カスペルスキーは、こうしたメール起点の攻撃が企業侵害の主要な出発点になり得るとして、予期しない招待やリンクは常に疑い、クリック前にインターネットアドレス(URL)を確認するよう助言した。企業はメールセキュリティソリューションの導入、スマートフォンを含む全従業員の端末への強力なセキュリティソフトの導入、最新のフィッシング手口に関する定期的なセキュリティ教育によって対応すべきだと勧告した。