あなたの会社でも起こりかねない？ “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント（1/4 ページ）

[高橋睦美，ITmedia]

　ITプラットフォームやネットワーク機器の脆弱性を悪用して侵入するランサムウェアの被害が話題だが、一方で、“人”の脆弱性を突く手法も後を絶たない。典型例が、実在する人物をかたった偽メールだ。

　個人向けには金融機関やECサイトをかたったフィッシングメールが横行しているし、ビジネスの場でも、実在する取引先などを装ってやりとりし、多額の金銭を巻き上げる「BEC」、そして悪意あるソフトウェアをインストールさせてリモートから操作し、機密情報などを盗み取る「標的型攻撃」のリスクがある。

　こうした手口には、明らかに不自然な日本語で書かれた稚拙なものから、実在する人物の名前を使い、過去のメールのやりとりをなぞって送られてくる巧妙なものまで、さまざまなパターンがある。メールのフィルタリングや「SPF」「DKIM」「DMARC」といった送信ドメイン認証など技術的な対策も進んではいるものの、100％確実に防ぐことは困難だ。やはり最後の砦は「人」となる。

標的型攻撃メール訓練のイメージ（画像はフリー素材）

　その人のリテラシーを高める手段として、日本国内で10年以上前から実施されてきたのが「標的型攻撃メール訓練」だ。

　訓練では、本文中のURLをクリックしたり、添付ファイルを開封したりするように促す文面が記された標的型攻撃メールを模したメールを対象者に送信する。受信者がその内容を信じてクリックすると、仕込まれたビーコンを通して誰が開封したかが分かる仕組みだ。同時に受信者の画面には、「これは訓練メールです。こうしたメールを受け取ったときには情報システム部に連絡してください」といったアドバイスを記した画面が表示されることが多い。

　訓練に当たっては、どうしてもこの「開封率」が注目されがちだが、本来の趣旨としては「どのような手口があり、どこに注意すべきか」というリテラシーを高めること、そしてこうした不審なメールを受け取ったり開いてしまった場合に、速やかに情報システム部やセキュリティ担当に通知するといった対応の仕方を学ぶことにある。

森田義礼氏

　実際に標的型攻撃メール訓練サービスを提供するラックの森田義礼氏は、「百聞は一見にしかずと言いますが、訓練を通して実際に体験してもらうことで、違和感があったとき、開封してしまった後に正しい対処が取れるのか、どこに報告すべきかを認識してもらい、有事の際に適切に対応できるようにすることがポイントです」と述べた。

　標的型攻撃メール訓練は、日本年金機構をはじめ、大規模な標的型攻撃や情報漏えい事件が多発したことをきっかけに広く実施されるようになった。それから10年近くたつが、「やはり、会社間でのやりとりにはメールが多く使われることもあり、中小企業から大企業、官公庁も含め、メールに関するリテラシーを高めるという意味でも、引き続き訓練に対するニーズは存在しています」（森田氏）

　基本的には、災害や火災に備えた避難訓練と同じように、年に1回など定期的に全従業員を対象に実施するケースが多い。一方で、新入社員向けのリテラシー向上というニーズもあるという。

　「昨今の若い年代の方々の中には、社会人になってはじめてメールを使う人も多いようです。このため、訓練メールの内容をそのまま素直に受け取って開いてしまい、比較的開封率が高くなる傾向も見受けられます」（森田氏）。こうした人々に一度標的型攻撃メールを経験してもらうことで、手口を認識させる効果もあるという。