あなたの会社でも起こりかねない？ “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント

　基本的には、災害や火災に備えた避難訓練と同じように、年に1回など定期的に全従業員を対象に実施するケースが多い。一方で、新入社員向けのリテラシー向上というニーズもあるという。

　「昨今の若い年代の方々の中には、社会人になってはじめてメールを使う人も多いようです。このため、訓練メールの内容をそのまま素直に受け取って開いてしまい、比較的開封率が高くなる傾向も見受けられます」（森田氏）。こうした人々に一度標的型攻撃メールを経験してもらうことで、手口を認識させる効果もあるという。

●安易な訓練が招きかねない、3パターンのトラブル

　いくら巧妙な手口の危険性について説明しても、座学で話を聞くだけでは、右から左に抜けていきがちで、実際にターゲットの立場を体験することで認識を深められる効果が高まるのは確かだろう。だが、十分な準備を行わないまま、あるいは考慮を欠いた状態で訓練を実施すると、思わぬトラブルが発生することもある。森田氏によると、トラブルは主に3種類に大別できるという。

　「1つ目は、訓練メールを受信した従業員の業務が混乱することによって実業務に影響が及んでしまうケースです。2つ目は、例えば大規模な企業で数千、数万のユーザーに一括して訓練メールを送った結果、通報が社内の窓口に殺到し、パンクしてしまう可能性です」（森田氏）

この2つの問題は、頻繁にとまではいかないものの、比較的多く耳にするそうだ。特に、初めて標的型攻撃メール訓練を実施する場合に陥りがちな問題だという。

　3つ目は、自社以外の企業・組織、つまり第三者に迷惑を掛けてしまうケースだ。「訓練を重ね開封率が下がっていくと、本物の不審メールと区別の付かないような訓練メールを送りたい、という気持ちが生まれることもあります。開封率を高めるため、実在する組織名をかたった訓練メールを使ってしまう可能性があるかもしれません」（森田氏）

　その結果、訓練メールを受け取った対象者が、実在する第三者に「おたくからこういったメールが来たんだけれど、どういうことだろう」と問い合わせ、結果として第三者の組織に迷惑を掛けたり、業務を妨害してしまう恐れがある。実際にはあまり起こっていないものの、訓練サービスを提供するに当たって同社が口を酸っぱくして注意しているという。

　また、セキュリティ教育や訓練を重ね、ある程度リテラシーを高めた従業員が増えてきた場合に懸念されるトラブルもある。「受信者に多少リテラシーがあると、添付ファイルを『VirusTotal』などの外部の検査ツールにアップロードし、自力でマルウェアか否かを判別しようとすることも考えられます。しかし、これもトラブルの要因になりかねません」（森田氏）