ホワイトペーパー

メールだけでなくソーシャルネットワークにも

迫り来るフィッシングの脅威

1メールだけでなくソーシャルネットワークにも迫り来るフィッシングの脅威

エグゼクティブサマリー長年にわたる啓蒙活動と数百万ドル規模の従業員教育も空しく、フィッシングは依然として組織に立ちはだかる最大のインサイダー脅威です 1。IT セキュリティ侵害の実に 93% が、何らかの形のフィッシングによる直接的な結果であり 2、フィッシング攻撃全体の 34% は明らかにエンタープライズ組織を標的にしています 3。従業員は毎日知らない間に、個人情報や企業情報を攻撃者に差し出しているのです。

そして今、攻撃者はさらに魔の手を広げています。

犯罪者はもはや、メールの世界に閉じこもってはいません。人気の高いソーシャル・メディア・ネットワーク、インスタント・メッセージング・アプリケーション、オンラインのファイル共有サービスへと活動の場を広げており、Facebook、Slack、Microsoft Teams、Dropbox、Google Docs、その他さまざまな有名プラットフォームが、エンタープライズ組織に侵入するための第一関門として機能しています。この種のチャネルは個人との距離がずっと近く、シェアや拡散が簡単に行われるため、フィッシングは爆発的に広がっていき

ます。

犯罪者は、1 組の認証情報さえあれば企業ネットワークにアクセスし、横方向に移動して企業の最重要情報を盗み出します。

従来型の企業セキュリティコントロールには、リスク緩和に限定的な効果しかありません。従業員はさまざまな場所から、さまざまなデバイスを使って企業ネットワークにアクセスするからです。IT 部門による最低限の監視を受けながら、会社から支給されたデバイスを使って個人のメールアカウントやソーシャルアカウントにアクセスできます。モバイルデバイスからソーシャルアプリにアクセスした瞬間、彼らは企業の保護バリアの外に出ることになります。

残念ながら、そこでは警戒できることに限界があります。セキュリティのプロが 1 つのフィッシング攻撃を阻止しても、すぐに別の攻撃が始まる、まさに「いたちごっこ」と呼べる状況です。犯罪者は狡猾で我慢強く標的を定めており、すでに講じられているエンタープライズセキュリティ対策を突破する方法がないか、執拗に探ります。

さらに悪いことに、アンダーグラウンドサイトに行けば、すぐに使えるフィッシングキットが簡単に手に入ります。この手のツールキットは企業ネットワークへの侵入を想定して作られており、詐欺師が偽のウェブページを手早く作成し、メールやソーシャルチャネルで悪質なキャンペーンを開始するために必要なものがすべて入っています。

一方で、企業のメール・セキュリティ・システムを突破するフィッシングメールの数も増えています 4。現代のエンタープライズ組織のほとんどは防御システムを備えていますが、そのゲートウェイとフィルターはおよそ完璧とは言いがたいものです。これほど多発している攻撃に単一の防御レイヤーで対抗するのは、それらの効率性に関係なく、ベストプラクティスではありません。

昨日

今日

2メールだけでなくソーシャルネットワークにも迫り来るフィッシングの脅威

このような課題に直面している今日の企業には、新しいアプローチによるエンタープライズセキュリティが必要です。つまり、ゼロトラストの心構えである「一切を信頼しない、すべてを確認する、一貫した管理を維持する」を徹底しなければなりません。すべてのアクセスリクエストに認証と許可の両方を実行し、その都度、付与するようにします。

このセキュリティ変革においては、クラウドベースの高度なリアルタイム脅威防御ソリューションが極めて重要です。そうしたソリューションを導入すれば、エンタープライズ組織はこのホワイトペーパーで取り上げているソーシャルフィッシングなど、進化を続ける今日の脅威に対抗できます。

フィッシングがビジネスに与える影響エンタープライズセキュリティ侵害の主な原因はフィッシング行為であると、世界中の組織が回答しています。エンタープライズセキュリティ侵害の実に 93% は、何らかの形のフィッシングによる直接の結果です 5。

フィッシングの影響力と有効性は絶大です：

• 99 通のメールのうち 1 通は、悪質なリンクや添付書類の送りつけを主ベクトルとするフィッシング攻撃である 6

• 成功したメール攻撃の 52% は受信後 1 時間以内にリンクや添付書類がクリックされており、30% は 10 分以内にクリックされている 7

• 毎月、150 万近くの新しいフィッシングサイトが作られている 8

• 2018 年には、情報セキュリティ専門家の 83% がフィッシング攻撃を体験している 9

これは驚くような結果ではありません。サイバー犯罪者にとっては、エンタープライズ組織をハッキングするよりも、従業員から盗み出した情報で企業ネットワークにログインするほうがはるかに簡単です。1 組の認証情報さえ盗み出せれば、攻撃者はネットワークに侵入して犯罪の足場を築きます。この最初の侵入を許してしまうと、ラテラルムーブメント（横方向の移動）、最も貴重なリソースの特定、盗み出しまでがあっという間に行われます。

その影響は深刻なものです：

• 中規模企業の平均的なフィッシング攻撃対策コストは 160 万ドルである 10

• 顧客の 3 分の 1 はサイバーセキュリティ侵害に遭った会社と取引しなくなる 11

3メールだけでなくソーシャルネットワークにも迫り来るフィッシングの脅威

ソーシャルフィッシング：魔の手を広げる手段ソーシャルネットワーキング、メッセージングアプリ、ファイル共有サービスは、どれもある程度の信頼に基づいて成り立っています。ソーシャルメディアが理想の攻撃ベクトルとなるのはそのためです。攻撃者は、こうしたプラットフォームの上で前提となる信頼とコミュニティに付け込み、ユーザーをだまして悪意のあるコンテンツを拡散させます。ソーシャルメディア上で行われたフィッシング詐欺の数は、2019 年の最初の 3 か月で 70% 以上増加しています 12。

フィッシング詐欺のライフサイクルにおける常套手段の 1 つは、被害者が自分のソーシャルネットワークでリンク（偽の、または乗っ取られたサイトの URL）をシェアする手順を含めることです。被害者のソーシャルフレンドは、信頼できる人や知っている人から回ってきたリンクだからとクリックしてしまい、新たな被害者になります。安全かどうかわからない URL に対する根拠のない信頼は、こうして広がっていきます。

Akamai の Security Researcher である Or Katz は、ホワイトペーパー『A New Era in Phishing – Games, Social, and Prizes

（フィッシング新時代 – ゲーム、ソーシャル、賞金）』の中で、コンテストや賞金を利用して悪質なリンクを提示するソーシャル・フィッシング・キャンペーン手法について分析しています 13。正当なチャンスに見せかけたでっち上げの賞や嘘のプロモーションが情報の拡散を促し、個人情報や企業情報の提供に導く環境を作るのです。

ソーシャルチャネルが普及して人気が高まるにつれ、攻撃者と被害者の接点も増えています。

Forbes のレポートは、今や犯罪者が新たな被害者の獲得やキャンペーンの拡大に Slack、Skype、Microsoft Teams、Facebook Messenger などのインスタント・メッセージング・サービスを利用していることを示しています 14。ソーシャルを標的とするこのような行為は、なりすまし、暗黙の信頼の悪用、悪質なリンクなど、フィッシングメールと同じ手法を次世代のコミュニケーションプラットフォームに持ち込んだものです。

CSO によると、Microsoft OneDrive、Google Docs、SharePoint、WeTransfer、Dropbox、ShareFile などのオンラインファイル共有およびコラボレーションツールを利用するフィッシング攻撃が増えています 15。その手口は、ファイルにマルウェアを仕込む場合もあれば、大掛かりなフィッシング行為の一部としてプラットフォームを利用する場合もあります。画像、ドキュメント、追加資料の転送・保管の手順を入れることで、ターゲットや企業のメールスキャナーに対して行為の正当性を装えるからです。

こうした攻撃の新たな要素となっているのが、架空のソーシャル・メディア・ユーザーです。そのようなユーザーが当選者としての喜びの声を寄せ、ソーシャルネットワークに統合されたプラグインとして

Web サイトに表示されます。しかしその正体は、なりすましのフィッシングサイトと、事前生成されたソーシャルアカウントを示す JavaScript の埋め込みコードなのです。このような架空ユーザーは、（実際には存在しない）賞をもらった人がいるという証拠として機能し、サイト閲覧者の参加を促すとともに、手口に信憑性を持たせます。

偽のゲームや賞金が餌に使われます。

4メールだけでなくソーシャルネットワークにも迫り来るフィッシングの脅威

特にモバイルデバイス上で開始されるソーシャル・フィッシング・キャンペーンは、とりわけ対策が困難です。モバイルデバイスのセキュリティ脆弱性が広く知られていることに加え、ハイパーリンクの上にマウスを重ねれば表示される URL などフィッシング攻撃の特定に必要な詳細情報が、モバイル・ユーザー・インタフェースでは確認できないからです。その結果、モバイルユーザーがフィッシング詐欺に遭う確率は 3 倍高くなっています 16。

巧妙化するフィッシング戦術現代の犯罪者は、標的を定めた多種多様なアクティビティを執拗に繰り返して、エンタープライズ組織のセキュリティ防御をすり抜けます。こうしたフィッシングキャンペーンからネットワークを守ろうとすると、激しいせめぎ合いになります。セキュリティの専門家が対策を講じると、攻撃者はすぐに別の手口で攻めてきます。

最近あった事例を紹介しましょう。攻撃者は、Microsoft

Office 365 が当時採用していたメールのセキュリティプロトコルをすり抜けられる、ある脆弱性に気づきました。彼らはフィッシングサイトの URL にゼロ幅文字を埋め込んで難読化を図ったため、フィッシングメールは

Microsoft の URL レピュテーションチェックと Safe Links URL の保護をかいくぐり 17、ユーザーは

Microsoft がホスティングしたリンクではなく、フィッシングリンクを含むメールを受け取りました。

アンチフィッシング・ワーキング・グループ（APWG）が発行している『Phishing Activity Trends

Report（フィッシング行為の動向に関するレポート）』の最新版によると、URL のリダイレクトを利用することが増えているといいます。攻撃者はフィッシングサイトのランディングページの前、および認証情報送信の後にリダイレクターを配置します。こうすると、Web サーバーログのリファラーフィールド監視による検知機能からフィッシングサイトの URL が見えなくなります 18。

その他、フィッシングが進化および巧妙化した理由には、次のようなものがあります。

• すぐに使えるフィッシングキットの普及によってフィッシングが産業化している

• Google の認証情報のスクレイピングサイトを騙る偽のサイトにリンクした URL を、Google

Translate で難読化している 19

• フィッシングメールに信憑性を与えるために、リンク先のフィッシング Web ページを SSL で暗号化している 20

また、ビジネスメール詐欺（BEC）の手口も増加しています。犯罪者は信頼性の高いアカウント（多くの場合は Microsoft Office 365 のアカウント）を乗っ取り、そこからフィッシングメールを送信します。送信者が実在するため、フィルターは通信をブロックしません。この手の詐欺は 2017 年の第 4 四半期から 2018 年の第 4 四半期にかけて 476% 増加しており 21、2018 年の 12 億ドルという損失につながっています 22。

正当なビジネスツールが 悪用される例が増えています。

5メールだけでなくソーシャルネットワークにも迫り来るフィッシングの脅威

フィッシングキット：産業化するフィッシング犯罪テンプレート化されたフィッシングキットが大量に出回っているため、かつてないほど簡単に、悪意のあるキャンペーンを作成して開始できるようになっています。一般に、アンダーグラウンドサイトで売られているこの種のキットには、グラフィックツールやウェブ・デザイン・ツール、プレースホルダーコンテンツ、メールの一斉送信やその他の配信機能を備えるソフトウェアなど、詐欺師が有害な攻撃をしかけるのに必要なすべてが揃っています。

Akamai の Security Researcher である Steve Ragan は、CSO 向けの記事でこのツールキットについてこう言及しています。

現在、この種のキットは数万種類あります。犯罪者は基本的な HTML と PHP を組み合わせてこれらを開発し、乗っ取ったウェブサーバー上に保管します。通常、プログラムは 36 時間ほどで検知され、削除されます。

当初、サイバー犯罪者はフィッシングキットを有償で販売していましたが、現在では無償で手に入るものが増えつつあります。ところが多くの場合、このような「無償の」フィッシングキットの裏側には、暗黙の受益者として作者が隠れています。つまり、フィッシングによって盗み出された情報はツールキット購入者だけでなく、もともとの作者にも渡る仕組みになっているのです 24。「盗人には仁義はない」とはよく言ったものです。

Akamai の研究チームは最近、同じフィッシングキットを使用して 40 以上のブランドを攻撃している、300 以上のフィッシングキャンペーンのアクティビティを追跡調査しました 25。どの詐欺も、入口はある有名ブランドに関する

3 問立てのクイズになっています。被害者は、どの回答を選ぼうが必ず「正解」します。

こうしたフィッシングキャンペーンは同じツールキットから派生しているため、見た目も機能も同じです（右の図を参照）。

（フィッシングキットは）ウェブコンポーネントであるか、またはフィッシング攻撃のバックエンドです。ほとんどの場合、フィッシングキットは犯罪の最終段階として、知名度の高いブランドや組織のサイトを複製します。読み込まれたキットは、Microsoft、Apple、Google などの正当な Web サイトをミラーリングします23。」

「

6メールだけでなくソーシャルネットワークにも迫り来るフィッシングの脅威

ツールキットを使って作成されたこの種のキャンペーンは、有名ブランドの高い評判に付け込みます。由来や特性こそ似ているものの、クイズの質問は簡単に変えられ、さまざまな言語で展開されています。実際に被害に遭ったブランドの多くは航空会社でしたが、攻撃は広範囲に及んでいます。また、犯罪者は小売企業や屋内外の装飾、遊園地、ファストフード、レストラン、コーヒーショップなどのブランドにもなりすまします。

このように、キットを使って作成された偽のフィッシングページの多くは、勤務先のネットワークにうっかり危険を運んでくれる消費者を標的にしています。明らかにエンタープライズ組織のユーザーを標的とするキットも広く普及しています。こうしたツールキットは、Microsoft Office 365 や SharePoint の偽ログインページの作成に使われていました（下の画像を参照）。

メールフィルターやメールゲートウェイの効果エンタープライズ組織は一般的に、専用サービス、または Microsoft Office 365 や Google G Suite の

追加機能という形で、何らかの形式のメールフィルタリング機能を利用しています。これらの製品は、従来型のスパムやフィッシング、悪意のあるメールをユーザーから遠ざけることはできますが、決して完璧ではありません。

電子メール管理企業の Mimecast は、最新のレポート『Email Security Risk Assessment（メールセキュリティのリスクアセスメント）』の中で、現在のメール・セキュリティ・システムで通信の乗っ取りが拡大しつつあると報告しています。同社は、配信された 28,407,664 通のメールに 463,546 個の悪質な

URL が含まれていることを発見しました。言い換えると、61 通のフィッシングメールのうち 1 通は、 犯罪者が想定した受信者に届いているのです 26。

フィッシングキットが安価で使いやすく、ソーシャルネットワークで簡単に拡散できるということは、サイバー犯罪者が短命のフィッシングキャンペーンを作成して循環させれば大きな成功を得られることを意味します。Akamai の脅威リサーチチームは、このような短命の攻撃が独特の課題をもたらすことを特定しています。

6

7メールだけでなくソーシャルネットワークにも迫り来るフィッシングの脅威

トラフィックは、フィッシングドメインに達してそのふるまいが変化するとフラグが立てられますが、セキュリティチームがその不正なトラフィックを認識し、URL を分析し、その URL を脅威リストへと追加して、更新された脅威リストを顧客へ向けて送信する頃には、そのフィッシングキャンペーンは終わっているのです。必要な作業を終えて、犯罪者または乗っ取られた URL をホスティングしているサイトの正当な所有者によって、悪意ある URL は無効化されます。

この検知までの時間差がエンタープライズ組織にとって大きな脅威となります。

会社のデバイスをローミングしたり、個人のデバイスを会社に持ち込んだりするこの時代には、他にも弱点があります。労働力の分散化・移動性により、従来型の企業セキュリティ対策はますます不十分なものとなっています。エンタープライズ組織の境界を出入りする個人のデバイスは、組織のメールゲートウェイやメールフィルターに保護されていないプライベートのメールアカウントにアクセスする可能性があります。仕事のデバイスとプライベートのデバイスの境目が曖昧になり続けるにつれ、この脅威は増す一方です。

UR

L へのトラフィック

時間URL の作成 フィッシングキャンペーン開始

T = 日/月単位 T = 時間

URL の無効化

URL の検知

URL をブラックリストに追加

フィッシング詐欺やその他の攻撃に遭った従業員は、 最も危険なインサイダー脅威です 27。

だまされた従業員の割合 仕事とプライベートでデバイスを 使い分けていない従業員の割合

26%42%

8メールだけでなくソーシャルネットワークにも迫り来るフィッシングの脅威

また、前述したように、もはやフィッシング攻撃を仕掛けたり悪質なリンクを配布したりする足場はメールだけではなくなりました。

このように巧妙化されたフィッシング攻撃を組織が検知、ブロック、緩和するためには、ネットワーク上のあらゆるデバイスからすべてのトラフィックを調べるもう 1 つの防御レイヤーが必要です。

結論フィッシングをめぐる状況は進化を続けています。新たな常識となったのは、産業化されたフィッシングキットと、ソーシャルネットワークなどメール以外の配信チャネルの利用です。そして、デバイスのローミングと、モバイルデバイスからソーシャルネットワークやメッセージングアプリへのアクセスが、 この憂慮すべき傾向に拍車をかけています。モバイルデバイスは通常、エンタープライズ組織のセキュリティ構造における最大の弱点だからです。

現代のエンタープライズ組織は、ゼロトラスト・モデルを採用してフィッシングに対抗しなければなりません。企業セキュリティにおいては、「一切を信頼しない、すべてを確認する、一貫した管理を維持する」を徹底しなければなりません。エンタープライズ組織は、すべてのアクセスリクエストに認証と許可の両方を実行し、その都度、付与する必要があります。

デバイスのタイプやリクエストのオリジンに関係なく、エンタープライズネットワークのあらゆるアクティビティを監視できるクラウドベースのセキュリティソリューションは、ゼロトラスト・フレームワークの実装にふさわしい独自のソリューションです。クラウドソーシングの可視性があり、範囲が制限されたさまざまなトラフィックを統合して、世界規模の知見をリアルタイムで収集できます。クラウド・セキュリティ・ソリューションはインターネット全体のトラフィックパターンを使って、より的確に脅威を検知します。

単一のエンタープライズ組織では発見が難しい傾向も、複数のエンタープライズ組織に渡ってフィッシングキャンペーンの影響を観察するという方法で特定できます。

Akamai Enterprise Threat ProtectorAkamai の Enterprise Threat Protector は、フィッシングキャンペーン、フィッシングキット、マルウェア、ランサムウェア、DNS データ窃盗、高度なゼロデイ攻撃に起因する標的型脅威を事前に特定、ブロックして、緩和します。従来型のセキュリティ対策に伴う複雑さをなくし、ユーザーやデバイスがどこからインターネットに接続しても安全な接続を確保できるようにした、セキュア・インターネット・ゲートウェイ（SIG）です。

Enterprise Threat Protector や無料トライアルについては、 akamai.com/etp をご覧ください。

詳細を見る

9メールだけでなくソーシャルネットワークにも迫り来るフィッシングの脅威

Akamai は世界中の企業に安全で快適なデジタル体験を提供しています。Akamai のインテリジェントなエッジプラットフォームは、企業のデータセンターからクラウドプロバイダーのデータセンターまで広範に網羅し、企業とそのビジネスを高速、スマート、 そしてセキュアなものにします。マルチクラウドアーキテクチャの力を拡大させる、俊敏性に優れたソリューションを活用して競争優位を確立するため、世界中のトップブランドが Akamai を利用しています。Akamai は、意思決定、アプリケーション、体験を、ユーザーの最も近くで提供すると同時に、攻撃や脅威は遠ざけます。また、エッジセキュリティ、ウェブ／モバイルパフォーマンス、エンタープライズアクセス、ビデオデリバリーによって構成される Akamai のソリューションポートフォリオは、比類のないカスタマーサービスと分析、365 日 /24 時間体制のモニタリングによって支えられています。世界中のトップブランドが Akamai を信頼する理由について、akamai.com、blogs.akamai.com および Twitter の @Akamai でご紹介しています。全事業所の連絡先情報は、akamai.com/locations をご覧ください。公開日：2019 年 8 月。

出典

1） https://nakedsecurity.sophos.com/2018/10/23/phishing-is-still-the-most-commonly-used-attack-on-organizations-survey-says/

2）『2018 Data Breach Investigations Report（2018 年度データ漏えい調査報告書）』、https://enterprise.verizon.com/resources/reports/dbir/

3）Akamai 内部調査4）『Email Security Risk Assessment（メールセキュリティのリスクアセスメント）』、四半期レポート、Mimecast、2019 年 3 月。https://www.mimecast.com/globalassets/

documents/whitepapers/esra-white-paper-march-2019-v3.pdf

5）『2018 Data Breach Investigations Report（2018 年度データ漏えい調査報告書）』、https://enterprise.verizon.com/resources/reports/dbir/

6）Avanan の『2019 Global Phish Report（2019 年版グローバルフィッシングレポート）』、https://www.avanan.com/global-phish-report

7）『The Human Factor 2018（ザ・ヒューマン・ファクター 2018 年版）』、https://www.proofpoint.com/sites/default/files/gtd-pfpt-us-wp-human-factor-report-2018-

180425.pdf

8）https://www.webroot.com/us/en/about/press-room/releases/nearly-15-million-new-phishing-sites

9）『2019 State of the Phish Report（フィッシングの現状レポート 2019 年版）』、https://info.wombatsecurity.com/hubfs/Wombat_Proofpoint_2019%20State%20of%20

the%20Phish%20Report_Final.pdf

10）『Enterprise Phishing Resiliency and Defense Report（エンタープライズ組織のフィッシング耐障害性と防御性に関するレポート）』、https://cofense.com/wp-content/

uploads/2017/11/Enterprise-Phishing-Resiliency-and-Defense-Report-2017.pdf

11）https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/consumer-business/deloitte-uk-consumer-review-nov-2015.pdf

12）https://betanews.com/2019/05/02/social-media-phishing/

13）『A New Era in Phishing – Games, Social, and Prizes（フィッシング新時代 – ゲーム、ソーシャル、賞金）』、Or Katz、Akamai。https://www.akamai.com/jp/ja/

multimedia/documents/report/a-new-era-in-phishing-research-paper.pdf

14）『Four Phishing Attack Trends To Look Out For In 2019（2019 年に警戒すべき 4 つのフィッシング攻撃傾向）』、Michael Landewe、Avanan。https://www.forbes.com/

sites/forbestechcouncil/2019/01/10/four-phishing-attack-trends-to-look-out-for-in-2019/#6a9fd5034ec2

15）『Cybercriminals Impersonate Popular File Sharing Services to Take Over Email Accounts（サイバー犯罪者は有名ファイル共有サービスのふりをしてメールアカウントを乗っ取る）』、Asaf Cidon、CSO。https://www.csoonline.com/article/3274546/cybercriminals-impersonate-popular-file-sharing-services-to-take-over-email-accounts.html

16）『Mobile phishing 2018: Myths and facts facing every modern enterprise today（モバイルフィッシング 2018：現代のあらゆるエンタープライズ組織が対峙している俗説と事実）』、https://info.lookout.com/rs/051-ESQ-475/images/Lookout-Phishing-wp-us.pdf

17）『Z-WASP Vulnerability Used to Phish Office 365 and ATP（Office 365 と ATP のフィッシングに利用されるゼロ幅スペースの脆弱性）』、Yoav Nathaniel、Avanan。https://www.avanan.com/resources/zwasp-microsoft-office-365-phishing-vulnerability

18）『Phishing Activity Trends Report（フィッシング行為の傾向に関するレポート）』、アンチフィッシング・ワーキング・グループ（APWG）。http://docs.apwg.org/reports/

apwg_trends_report_q3_2018.pdf

19）『Phishing Attacks Against Facebook / Google via Google Translate（Google Translate を利用した Facebook ／ Google に対するフィッシング攻撃）』、Larry

Cashdollar。https://blogs.akamai.com/sitr/2019/02/phishing-attacks-against-facebook-google-via-google-translate.html

20）『Phishing Activity Trends Report（フィッシング行為の動向に関するレポート）』、アンチフィッシング・ワーキング・グループ（APWG）。http://docs.apwg.org/reports/

apwg_trends_report_q3_2018.pdf

21）https://www.bleepingcomputer.com/news/security/business-email-compromise-attacks-see-almost-500-percent-increase/

22）『2018 Internet Crime Report（2018 年版インターネット犯罪レポート）』、FBI、米国インターネット犯罪苦情センター。https://www.ic3.gov/media/annualreport/2018_

IC3Report.pdf

23）『What Are Phishing Kits? Web Components of Phishing Attacks Explained（フィッシングキットとは？フィッシング攻撃のウェブコンポーネントに関する説明）』、Steve Ragan、CSO。https://www.csoonline.com/article/3290417/csos-guide-to-phishing-and-phishing-kits.html

24）Akamai 内部調査25）『Quiz Phishing: One Scam, 78 Variations（クイズ形式のフィッシング：1 つの詐欺に 78 のバリエーション）』、Or Katz、Akamai。https://blogs.akamai.com/

sitr/2018/12/quiz-phishing-one-scam-78-variations.html

26）『Email Security Risk Assessment（メールセキュリティのリスクアセスメント）』、四半期レポート、Mimecast、2019 年 3 月。https://www.mimecast.com/globalassets/

documents/whitepapers/esra-white-paper-march-2019-v3.pdf

27）https://www.idg.com/tools-for-marketers/2018-u-s-state-of-cybercrime/