あなたの会社でも起こりかねない？ “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント

　訓練メールに使われる添付ファイルは、実際にはマルウェアではなく、報告先窓口の情報などが記載されている。機密情報そのものではないが、むやみに外部サイトにアップロードすることで「ここの会社はこういう訓練をやってるんだ、報告窓口のアドレスはこれだ」といった自社の情報が外部に漏えいすることになりかねない。

　「今のところ実害につながった例は聞いていませんが、会社で受け取った情報を個人の判断でむやみやたらに外部のサイトにアップロードせず、社内の報告ルールに沿って適切に、会社に判断を委ねることが重要だと思います」（森田氏）

●トラブルを回避するための”ちょっとしたポイント”

　せっかく時間と手間、そしてコストをかけて訓練を行うのだから、できる限りトラブルを起こさずに済ませるのが望ましい。そのために留意すべきポイントは何だろうか。

　まず一つ目の「受信者の業務が混乱し、滞ってしまう問題」を避けるには、不審メールに対する対応を周知徹底し、理解してもらうことが第一だ。「不審なものが送られてくると、どうしたらいいんだっけ……と受信者が迷ってしまうパターンもあるでしょう。それを避けるため、普段から不審メールへの対応手順を周知し、『何かあったらここに相談、連絡すべきだ』ということをすり込んでいくことが一つの対策です」（森田氏）

　また、あまりに長期間に渡るのではなく、短期間で実施するのもポイントの一つだとした。「混乱を避ける上でも、訓練実施後、すぐに『これは訓練メールなんだよ』と種明かしをしてあげることが大事だと思います」（森田氏）。中には、朝の10時に訓練メールを配信し、その日の夕方には種明かしをするスケジュールで実施するケースもあるという。

　加えて、訓練メールに使われるURLや添付ファイルをクリックした場合に、きちんと「あなたは訓練メールを開封したため、次のステップとしてこういったアクションを取ってください」と誘導することも重要だ。これにより受信者も、「次に何をすべきか」に迷うことなく、正しい窓口に対して報告が行えるようになる。

　次に、報告窓口やセキュリティ担当者のキャパシティーオーバーを避けるにはどういった点に留意すべきだろうか。

　情報システム部門の人員が潤沢で、問い合わせ窓口にも余裕がある──といったケースはまずない。訓練のためだけに窓口要員を増強するのも非現実的だ。「訓練の日程や対象者を調整し、日程を短く設定したり、一度に送信する受信者の数を絞ることで、パンクのリスクを軽減できるのではないかと考えます」と森田氏。例えば、従業員が一万人いるからといって、一日で全員に送るのではなく、一日当たり1000通ずつ程度に分け、それも時間帯をずらしながら配信していく、というイメージだ。