　いくら巧妙な手口の危険性について説明しても、座学で話を聞くだけでは、右から左に抜けていきがちで、実際にターゲットの立場を体験することで認識を深められる効果が高まるのは確かだろう。だが、十分な準備を行わないまま、あるいは考慮を欠いた状態で訓練を実施すると、思わぬトラブルが発生することもある。森田氏によると、トラブルは主に3種類に大別できるという。

　「1つ目は、訓練メールを受信した従業員の業務が混乱することによって実業務に影響が及んでしまうケースです。2つ目は、例えば大規模な企業で数千、数万のユーザーに一括して訓練メールを送った結果、通報が社内の窓口に殺到し、パンクしてしまう可能性です」（森田氏）

この2つの問題は、頻繁にとまではいかないものの、比較的多く耳にするそうだ。特に、初めて標的型攻撃メール訓練を実施する場合に陥りがちな問題だという。

　3つ目は、自社以外の企業・組織、つまり第三者に迷惑を掛けてしまうケースだ。「訓練を重ね開封率が下がっていくと、本物の不審メールと区別の付かないような訓練メールを送りたい、という気持ちが生まれることもあります。開封率を高めるため、実在する組織名をかたった訓練メールを使ってしまう可能性があるかもしれません」（森田氏）

　その結果、訓練メールを受け取った対象者が、実在する第三者に「おたくからこういったメールが来たんだけれど、どういうことだろう」と問い合わせ、結果として第三者の組織に迷惑を掛けたり、業務を妨害してしまう恐れがある。実際にはあまり起こっていないものの、訓練サービスを提供するに当たって同社が口を酸っぱくして注意しているという。

　また、セキュリティ教育や訓練を重ね、ある程度リテラシーを高めた従業員が増えてきた場合に懸念されるトラブルもある。「受信者に多少リテラシーがあると、添付ファイルを『VirusTotal』などの外部の検査ツールにアップロードし、自力でマルウェアか否かを判別しようとすることも考えられます。しかし、これもトラブルの要因になりかねません」（森田氏）

　訓練メールに使われる添付ファイルは、実際にはマルウェアではなく、報告先窓口の情報などが記載されている。機密情報そのものではないが、むやみに外部サイトにアップロードすることで「ここの会社はこういう訓練をやってるんだ、報告窓口のアドレスはこれだ」といった自社の情報が外部に漏えいすることになりかねない。

　「今のところ実害につながった例は聞いていませんが、会社で受け取った情報を個人の判断でむやみやたらに外部のサイトにアップロードせず、社内の報告ルールに沿って適切に、会社に判断を委ねることが重要だと思います」（森田氏）

トラブルを回避するための”ちょっとしたポイント”

伊藤忠セキュリティ子会社、ランサム攻撃などのリスク可視化シートを無料公開　「現状把握にぜひ」
伊藤忠サイバー＆インテリジェンスが、社内で利用していたツールを基にしたリスクアセスメント（リスクの特定、分析、評価）シートを無償で公開した。
サイバー攻撃の身代金「復旧のためなら支払う」8割弱　Cohesity JapanがIT責任者300人超に調査
セキュリティ企業米Cohesityの日本法人Cohesity Japanが、サイバー攻撃からの復旧に関するアンケート調査の結果を発表した。対象は企業のIT・セキュリティ責任者302人。身代金要求型攻撃を受けたとき、身代金を支払うか聞いたところ、79％が「データの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払う」と回答したという。
AI人材を新規採用→実は“北朝鮮の技術者”だった　マルウェア感染など画策　米セキュリティ企業が体験明かす
雇ったAI人材が実は北朝鮮の技術者で、社内にマルウェアを仕込もうとしていた。履歴書の写真はAIで加工されたもので、オンライン面談でも気付けなかった──米セキュリティ企業のKnowBe4が、こんな出来事に遭遇したと自社ブログで明かした。
「当社の情報が漏えいしました」──世間へどう発表すべき？　タイミングは？　セキュリティ専門家に根掘り葉掘り聞いてみた
「自社でインシデントが起きました」「サイバー攻撃を受け情報漏えいが起きました」の適切な発表の仕方とは？　情報を広げる当事者である記者と、インシデント発生時の情報開示に関するコンサルティングを手掛けるセキュリティ企業で話し合った。
プロに聞く「ペネトレーションテストはいつすべき？」　“わざと自社にサイバー攻撃”訓練に求められる覚悟
「うちもやったほうがいいのかな」というあいまいな理由だけでペネトレーションテストを実施しても、投資に見合った効果が得られるかというと疑問が残る。どうせ実施するならば、実のある診断・演習を実施したいものだ。どういったポイントに留意して取り組むべきか。