ランサムウェア対策のひとつとして、標的型攻撃メール訓練サービスが注目を集めています。

『聞いたことはあるけど、、、本当に効果あるの？』
と考える方もいるでしょう。

全従業員のITリテラシーが非常に高い会社では効果は薄く、必要ないかもしれません。
しかしながら、全員のITリテラシーが高いという稀有な状況以外では効果を発揮します。

とくに「自社のセキュリティリテラシーのレベルを把握したい」、「リテラシーレベルが低い従業員もいる」といったことをお考えであれば、多くの効果が見込めるでしょう。

本記事では、弊社が実際にメール訓練サービスを利用し、社内のセキュリティリテラシーを向上させた事例について、具体的なメール内容も掲載しながら解説していきます。

標的型攻撃メール訓練とは？

標的型攻撃メール訓練とは、重大な情報を盗むことなどを目的としたウイルス付きメール（標的型攻撃メール）をなぞらえた「訓練メール」を、抜き打ち的に従業員に送信するものです。

従業員に対して、攻撃メールへの意識向上および初動対応について、教育訓練することが可能です。

標的型攻撃メール訓練の目的

標的型攻撃メール訓練の目的は「従業員のセキュリティリテラシーの向上」です。

標的型攻撃メールの引っ掛かりやすいポイントはどこか、攻撃者はどのように「なりすまし」を行うかを実践的なメール訓練でよりリアルに模擬体験することで、従業員の危機意識が高まります。

残念なことに、ランサムウェアを含むサイバーアタックは日々進化を続け、その数を飛躍的に伸ばしています。
警察庁が発表した資料によれば、2020年における標的型メール攻撃は4,119件ありました。

添付されるウイルスの形式も変化しており、通常業務で利用されるWord形式などにして見破りづらくし、受信者をより巧妙にだまそうとしています。
 
参考：令和2年におけるサイバー空間をめぐる脅威の情勢等について
（https://www.npa.go.jp/publications/statistics/cybersecurity/data/R02_cyber_jousei.pdf）
 
※ランサムウェアについて詳しくはこちら

日々進化を続けるサイバーアタックには、さまざまな対策手段が存在します。

エンドポイントセキュリティなどを施すセキュリティソフトや、バックアップソリューションなどの技術的対策はもちろん重要ですが、標的型攻撃メール訓練による「従業員のセキュリティリテラシーの向上」も欠かせない対策のひとつです。

＼標的型メール訓練を選ぶポイントについてまとめています！／

標的型攻撃メール訓練の内容

弊社では「従業員のセキュリティ教育」に重きを置き、常に啓もう活動を続けています。
その一環として、標的型攻撃メール訓練サービスを実際に弊社内で利用しました。

実際に送られたメール内容や得られた効果などの詳細をみていきましょう。
 
＊標的型攻撃メール訓練サービス利用時概要
　・本取り組みを事前に知っていた者は、情報システム部門の一部の従業員のみ
　・訓練メールは、取り組みを知らない従業員に送信
　・訓練メールは、業務時間帯に送信
　・訓練メールにはURLリンクが含まれており、クリックすると開封した日時などの
　　アクセスログが標的型メール訓練サービス提供企業のサーバに送られ
　　同時に訓練用の警告コンテンツが表示される

実際に送信された内容

以下の画像は、実際に取り組みを知らない従業員に送られた、訓練メールの本文です。
本メールは、通常の別業務を行っている最中に送られました。
メール文は一例で、URLリンクではなくファイルが添付されている形式など、いくつかのパターンがあります。

※個人を特定できるような内容などは一部削除・変更しています。

画像が閲覧できない場合は、以下をご覧ください。
 
＝＝＝
件名：【ご案内】ITリテラシー研修の実施について
送信者：コンプライアンス室　池田<メールアドレス>
2021年11月17日10:03
 
本文：
皆様
今月よりコンプライアンス室の主任となりました、池田です。
 
近年はTwitterやLine等、SNSによるトラブルが多発し、改めて安全なインターネットの利用が求められています。
そこで、皆様のITリテラシーの向上をめざし、来月初めに当室主催のITリテラシーの研修を実施することとなりました。
 
皆様一人ひとりのITリテラシーが評価されます。特に低いと評価された方については追加で研修を実施していただくことになりますので、事前に下記案内をご確認の上で、研修にお臨みください。
 
＜URL＞
http://～～～～～～～～～～～～～～～～～～～

コンプライアンス室　池田
＝＝＝

標的型攻撃メールを見抜くポイント

・メールアドレスのドメイン、送信者欄

まず、今回のメールではメールアドレスが弊社のドメインではないことに気づけるかがポイントとなります。

送信者欄の記載方法も弊社では「氏名<メールアドレス>」となっていますが、今回は「コンプライアンス室　池田<メールアドレス>」となっていることからもおかしいと判断できます。

・通常のメール文面との違和感

弊社では、「お疲れ様です。〇〇部の✕✕です。」といった一般的な定型文を利用しておりますが、本メールでは、そういった文面ではないことに違和感を覚えます。
 
しかしながら、弊社でも約1割の従業員が上記のリンクをクリックしてしまっておりました。
また、「顧客のふりをして送られた場合には、クリックしてしまうかも」といった意見もありました。

時刻を見てもらえばわかるとおり（平日の午前中）、通常業務中に送られてきたメールのため、流れ作業でメールを確認し、よく中身を確認しないままクリックしてしまったり添付ファイルを開いてしまったりする可能性は大いにあります。

この点に関しては、全従業員に対して、受信したメールのメールアドレスや送信者欄を常に確認することを再教育し、全社での共通認識としております。
また、少しでも怪しいと感じた場合は、即時上長にエスカレーションするなど、報告経路についても再度明示して、実際の標的型攻撃メールの対処を行うこととしております。

標的型攻撃メール訓練で得られた3つの効果

上述した通り、弊社でもURLをクリックした従業員が1割ほどおりました。
セキュリティの研修や勉強会、テストを行い、普段から注意を促されていた弊社でも、、、です。

結果として弊社で得られた効果は以下の３つだと考えております。
 
＊得られた3つの効果
　・メール文面という会社の文化的な側面が、サイバーアタックに気づくきっかけに
　　なることを従業員に周知できた
　・実際の攻撃を受けた場合、誰がどのように報告して状況をまとめるべきか
　　適切な報告経路を明確化できた
　・新たな気づきとともに、従業員が持つべきセキュリティリテラシーレベルを共有できた

サイバーセキュリティに対する啓もう活動を社内で行っていない会社であれば、更なる気づきや学びを得られるのではないでしょうか。

まとめ

今回、実際にメール訓練サービスを利用して得た効果や気づきを解説してきました。

中でも、「従業員がもつべきセキュリティリテラシーレベルの共通認識化」を実現できたことが非常に大きな効果だったと言えます。

日々高度化するサイバー攻撃には、技術的対策だけでなく、従業員のセキュリティ意識教育による対策も必要不可欠です。
啓もう・教育活動は続けるほど、より高いコストパフォーマンスを発揮します。

とくにEmotetがあらためて急拡大している現在（2022年4月）では、一人のセキュリティ意識の欠如が会社全体に大きな影響を与えてしまいます。
 
「現時点で従業員に標的型攻撃メールへの意識がどれほどあるのかを知りたい」、「今後のセキュリティ対策を明確化する方法がわからない」などの課題があれば、標的型攻撃メール訓練サービスの利用は、貴社のセキュリティに十分な効果を発揮するでしょう。

メール訓練サービスをはじめ、弊社でもセキュリティ支援を承っておりますので、お気軽にご相談ください。

■関連記事
・情報セキュリティの基本（cia）と3大脅威への対策とは

・情報漏洩どう防ぐ？テレワークにおける企業データの守り方！｜認証・認可

・ゼロトラストセキュリティとは？情シス部員なら知っておきたい基礎知識

※この記事は、公開時点の情報をもとに作成しています。