スパム、フィッシング、BEC メール経由の脅威に対抗する従業員のリテラシー向上策とは：「体験型サービス」で脅威を理解

テレワークによってメール運用が個人に任されている今、重要性を増すサービスが標的型メール訓練だ。マルウェアスパムやフィッシング詐欺、ビジネスメール詐欺などのリスクが取り沙汰される中、従業員のセキュリティリテラシーを高めるために必要なことは何か。

[PR／ITmedia]

PR

　巧妙に偽装したなりすましメールにだまされて添付ファイルを開いた結果、マルウェアに感染して社内サーバのファイルが暗号化されて情報漏えいにもつながってしまった――こうしたニュースを目にして対策を講じたい企業は多いはずだ。

　メールセキュリティ対策は、疑わしいメールを検知する製品を導入するだけでは不十分で、メール運用における従業員のリテラシー向上も必要不可欠と言える。これを実現するための手段の一つが「標的型メール訓練」だ。

　標的型メール訓練は、従業員に向けて標的型攻撃メールを模した訓練用のメールを送付し、従業員が不審な点に気が付いて開封を回避できるかどうか、開封した場合にスピーディーに担当者に報告できるかどうかを調査する。従業員にセキュリティへの気付きを与えて、初動対応ルールなどのインシデント対応プロセスを再確認することで、情報漏えいリスクの低減につなげる。

テレワーク時代は、従業員個人がメール脅威にさらされている

　標的型メール訓練は、2010年前後に国内の企業や組織を対象にした標的型攻撃の被害が相次いだことを背景に登場し、企業を取り巻く環境に応じてサービス内容を拡充してきた。新型コロナウイルス感染症対策として普及したテレワークによってメール運用が個人に任されている中、その重要性は増しつつある。

GSX　教育事業本部　SATサービス事業部事業部長　髙﨑庸一氏

　グローバルセキュリティエキスパート（以下、GSX）の髙﨑庸一氏（教育事業本部　SATサービス事業部事業部長）によると、テレワーク実施期間における標的型攻撃メールの開封率は2019年度と比較して上昇傾向にあるという。

　「訓練メールの開封者にヒアリングを実施したところ、『届いたメールに不審な点はあったものの、緊急性を要する内容だったため開いてしまった』という声が多くあった。オフィスであれば周囲に『このメール、少し不審だが大丈夫だろうか』と気軽に聞けたはずだ。だが自宅などにおいて一人で業務を進めていると、それだけのために電話やチャットをするのは気が引ける」（髙﨑氏）

　2021年1月27日に欧州刑事警察機構（Europol）が主導した合同捜査作戦によってマルウェア「Emotet」のテイクダウンが発表されたことで、胸をなで下ろした企業も多いことだろう。だがメール経由の脅威は去ったとは言えない。マルウェアスパムやフィッシング詐欺、ビジネスメール詐欺（BEC）などのリスクは依然として存在する。

最新の手口に合わせた質の高い訓練と豊富な実績に基づく分析を提供

　GSXは、2012年から年間1500以上の企業や組織に「標的型メール訓練サービス」を提供している。

標的型メール訓練の実施イメージ（出典：GSX）

　標的型メール訓練サービスは、従業員に訓練メールを送付し、添付ファイルを開いたり本文内のURLをクリックしたりした際に警告画面を表示して注意点を伝える。身をもって攻撃を体験することでより高い学習効果が期待できる。GSXのメール訓練専門のプロジェクトマネジャーが訓練の計画から実施、報告までを支援するため、企業の目的に応じた効果的な訓練を実施し、訓練の運用に関わるノウハウを得られる。

　「訓練メールを従業員向けに送信することは簡単だが、導入しているセキュリティ製品の影響で、訓練メールが迷惑メールフォルダに振り分けられて従業員に届かないケースやサンドボックス機能が訓練メールを開封してしまい開封結果に異常値を示すケースは回避しなければならない。GSXは、主要なクラウドメールサービスを複数環境保有し、訓練に与える影響を日々検証している。プロジェクトマネジャーは、検証環境で得られた知見や事前テストの結果を分析し、精度の高い訓練を実現する。訓練の実施中は、従業員からの問い合わせやクレーム対応が多く発生する。こうした負荷を分散するために、訓練を部署ごとに段階的に実施するなど柔軟な対応が可能だ」（髙﨑氏）

　同サービスは、最新の攻撃動向を踏まえた上で「従業員が興味を引きそうなメール」「実際に攻撃で使われやすいメール」など豊富なサンプルによって質の高い訓練を実施できる。「Emotetに類似した攻撃メールに対する注意喚起を実施したい」という要望があれば、実際に政府機関や取引先で使用されているドメインに近いものを使い、Emotetと同じ手法を使ったWordファイルを添付した訓練メールを配信する。メール本文に社長の名前やメールアドレスなどの差し込み、件名に「緊急」「重要」といった興味を引かせる単語を入れるなどのカスタマイズも可能だ。

GSX　取締役　西日本支社支社長　三木 剛氏

　年間100万以上のアドレスを対象に訓練を実施している実績があるからこそ、実施後の結果を客観的に評価できることもポイントだ。GSXの三木 剛氏（取締役　西日本支社支社長）は、「同業他社や同規模の企業の攻撃メール開封率と比較して自社の立ち位置を把握できる」と説明する。

　訓練後のアンケートを通して「添付ファイルを開かなかった理由」や「開いてしまった理由」など従業員の“生”の声を収集することで、初動対応ルールが従業員間にどのくらい浸透しているのかを把握できる。さまざまな切り口の訓練から得たデータを分析することで、自社の運用ルールにおける脆弱（ぜいじゃく）な部分の補強にもつながる。

　「今後もメールに関するさまざまな脅威が登場するだろう。GSXは新たな脅威に対して、絵や文章だけで説明することで終わらせず『体験して理解する』サービスを継続的に提供する」（髙﨑氏）

　新たな脅威に対応した訓練サービスとしては「体験型スマートフォン向け詐欺メール対応訓練サービス」が挙げられる。2020年から増加傾向にあるSMS経由のフィッシング詐欺に対応した訓練だ。こうした詐欺は、実在するクラウドサービスやECサイトの名前をかたって受信者をだまし、業務用IDやパスワード情報を窃取したり携帯端末にマルウェアを感染させたりする。同サービスは、従業員に携帯端末を貸与してテレワーク業務に当たらせる企業などに向けて、スマートフォンに届く悪質なメッセージの危険性や対策を伝える。

体験型スマートフォン向け詐欺メール対応訓練サービスの実施イメージ（出典：GSX）

訓練と計画的な教育の組み合わせで、皆がセキュリティを「自分ごと」に

　標的型メール攻撃訓練は「開封率」という数字に目が行きがちだ。「サイバーセキュリティ教育カンパニー」としてさまざまなセキュリティ教育を支援するGSXによると、訓練の重要なポイントは、数字にとらわれることなく「不審なメールとは具体的にどのようなものか」を知って危機管理能力を高めることにあるという。これによって万が一不審なメールを開封した場合にも、スピーディーに事態を報告して担当者の指示を仰ぐ運用体制を構築できる。

　「全従業員が『セキュリティは自分には無関係』『システムが守ってくれる』という意識を持たず、自分ごととして捉えられるようになる。こうした文化を醸成できるサービスの提供を目指す」（三木氏）

　GSXは、標的型メール訓練サービスにコンサルティングを組み合わせたサービスも提供する。教育サービス「Mina Secure」は、日常業務におけるセキュリティ対策をeラーニング形式で提供して従業員のセキュリティリテラシーを底上げする。同社によると標的型メール訓練サービスを実施した企業の約3分の1が、Mina Secureを導入しているという。

　GSXは現在、企業におけるMina Secureの活用を促進するためのプランとして「2021新体制応援企画」を提供する。2020年は働き方が大きく変化して新たなサイバー攻撃も登場した。企業は今後に備えて、最新の事例に基づいた教育コンテンツで全社的なセキュリティリテラシーの向上を図る必要がある。

　「西日本でもセキュリティ教育にしっかりと投資をする企業が増えてきた。年間教育プランを作成して新入社員向けの基礎研修に加えてメール訓練を実施するなど、企業に合わせて適切な教育コンテンツを組み合わせている」（三木氏）

　GSXは、今後も知識と経験を組み合わせた「体験型のサービス」を提供して従業員のセキュリティリテラシーの向上を支援する。