あなたの会社でも起こりかねない？ “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント

標的型攻撃メール訓練のイメージ（画像はフリー素材）

　ITプラットフォームやネットワーク機器の脆弱性を悪用して侵入するランサムウェアの被害が話題だが、一方で、“人”の脆弱性を突く手法も後を絶たない。典型例が、実在する人物をかたった偽メールだ。

　個人向けには金融機関やECサイトをかたったフィッシングメールが横行しているし、ビジネスの場でも、実在する取引先などを装ってやりとりし、多額の金銭を巻き上げる「BEC」、そして悪意あるソフトウェアをインストールさせてリモートから操作し、機密情報などを盗み取る「標的型攻撃」のリスクがある。

　こうした手口には、明らかに不自然な日本語で書かれた稚拙なものから、実在する人物の名前を使い、過去のメールのやりとりをなぞって送られてくる巧妙なものまで、さまざまなパターンがある。メールのフィルタリングや「SPF」「DKIM」「DMARC」といった送信ドメイン認証など技術的な対策も進んではいるものの、100％確実に防ぐことは困難だ。やはり最後の砦は「人」となる。

　その人のリテラシーを高める手段として、日本国内で10年以上前から実施されてきたのが「標的型攻撃メール訓練」だ。

　訓練では、本文中のURLをクリックしたり、添付ファイルを開封したりするように促す文面が記された標的型攻撃メールを模したメールを対象者に送信する。受信者がその内容を信じてクリックすると、仕込まれたビーコンを通して誰が開封したかが分かる仕組みだ。同時に受信者の画面には、「これは訓練メールです。こうしたメールを受け取ったときには情報システム部に連絡してください」といったアドバイスを記した画面が表示されることが多い。

　訓練に当たっては、どうしてもこの「開封率」が注目されがちだが、本来の趣旨としては「どのような手口があり、どこに注意すべきか」というリテラシーを高めること、そしてこうした不審なメールを受け取ったり開いてしまった場合に、速やかに情報システム部やセキュリティ担当に通知するといった対応の仕方を学ぶことにある。

　実際に標的型攻撃メール訓練サービスを提供するラックの森田義礼氏は、「百聞は一見にしかずと言いますが、訓練を通して実際に体験してもらうことで、違和感があったとき、開封してしまった後に正しい対処が取れるのか、どこに報告すべきかを認識してもらい、有事の際に適切に対応できるようにすることがポイントです」と述べた。

　標的型攻撃メール訓練は、日本年金機構をはじめ、大規模な標的型攻撃や情報漏えい事件が多発したことをきっかけに広く実施されるようになった。それから10年近くたつが、「やはり、会社間でのやりとりにはメールが多く使われることもあり、中小企業から大企業、官公庁も含め、メールに関するリテラシーを高めるという意味でも、引き続き訓練に対するニーズは存在しています」（森田氏）