標的型攻撃メール訓練中の混乱を防げ！【第3回】訓練編

標的型攻撃メール訓練担当

メルマガ登録する

メルマガ登録する

標的型攻撃メール訓練（以下メール訓練）の肝を4回にわたって分かりやすくお伝えする本シリーズ、第3回はメール訓練中に発生する問題と、その対策を解説します。

メール訓練中に発生する主な3つの問題

問題１．訓練対象者の業務が混乱

メール訓練は、時として訓練対象者の業務に混乱をもたらします。
メール訓練で使うメールには、不審メールと気づいてもらうための「気づきポイント」が設定されています。例えば、送信元がフリーメールのアドレスだったり、実在しない部署が署名に使われていたりします。

このようなメールを受信して不審に思った訓練対象者が周囲に相談・報告することはよくあることです。不審メールが本物だった場合、周囲と情報を共有することは同じようなメールを受け取った人への注意喚起にもなるため、対処法として正しいのですが、訓練ではこの行為が裏目に出ることがあります。

ある組織の事例で、不審メールを受信した社員が情報を周囲と共有するうち、同じ部署に所属する社員全員が不審メールを受信していることが判明し、その情報がオフィス全体に伝わったことがありました。一つの部署の全員が不審メールを受信したことから、マルウェア感染を疑った一部の社員が自身のPCをネットワークから切断し、ウイルス対策ソフトでフルスキャンを実行したところ、フルスキャン実行中はPCが利用できないためにそれら複数の社員の業務に支障をきたす結果となりました。

また、疑似攻撃メールの添付ファイルを開封したり、メール本文に記載されたURLをクリックしたりした際に、訓練だと気づけなかった訓練対象者はPCをネットワークから切断してしまいがちです。この場合も、開封者の人数は限定的とはいえ、少なからず業務に支障をきたします。

問題２．セキュリティ担当部門がパンク

受信した不審メールが訓練用に送られたものだと気づかず、訓練対象者が一斉に不審メール受信の報告を上げることにより生じるのがセキュリティ対応部門のパンクです。

多くの組織では、不審メールを受信した場合の初期対応として「セキュリティ担当者に報告すること」と社内規程に定めています。報告にスピードを求める組織では、電話報告を必須としているところもあります。セキュリティ対応部門のパンクは、初期対応手順が訓練対象者に浸透しているからこそ発生する問題です。

ラックが提供するメール訓練では、疑似攻撃メールに添付するファイルやメール本文に記載するURLリンクの先に、そのメールが訓練のために配信されたものだと知らせる文面を用意し、訓練対象者が即座に訓練だと気づけるように工夫しています。場合によっては、「セキュリティ担当部門への報告は不要です」というメッセージを入れることもあります。

しかしこうした工夫も、訓練対象者が受信したメールを本物の攻撃メールだと思い込んだ場合は、添付ファイルを開封せず訓練だと知らせるメッセージに行きつかないため意味のないものとなりかねず、セキュリティ担当部門への報告が一斉に上がる恐れがあります。

セキュリティ担当部門のパンクとは別の問題として、疑似攻撃メールを計画通り早朝に配信したものの、セキュリティ担当部門が業務時間外で不在だったため訓練対象者からの連絡に対応できず、後日訓練対象者からのクレームに発展したケースがありました。
早朝の配信はメールの不審さを高める意図があり、メールを受信した時刻から対象者が不審に感じたところまでは狙い通りでしたが、配信直後に対象者がセキュリティ担当部門に連絡を取ることまでは想定されていませんでした。これも、初期対応手順が訓練対象者に浸透していたからこそ発生した問題と言えます。

問題３．他組織の業務を妨害

訓練メールに使う送信元メールアドレスや署名が不適切だと、訓練対象者が他組織に問い合わせをしてしまい、その組織の業務を妨げるケースがあります。
心当たりがないメールを受信した際、訓練対象者が内容を確認するために疑似攻撃メールの差出人に問い合わせをすることもよくあることです。送信元メールアドレスに他組織に似たドメイン名を利用したり、他組織に実在・類似する部署や人物の名称をメール文面に記したりしていると、訓練対象者が誤ってその組織に問い合わせをしてしまう恐れがあります。問い合わせを受けた他組織の人は事実確認などに追われることになり、結果としてその組織の業務に悪影響を生じさせることになります。

どう対策するか

前述した問題はいずれも起きてからでは手遅れとなります。大切なのは用意周到な計画や準備です。

対策１．訓練対象者や報告先への行動案内

訓練を実施する前に、不審メール受信時の対応手順や報告フローを再周知しておくと、訓練当日、訓練対象者は手順に則った行動ができるようになります。不審メールの受信報告を受ける現場の上長やセキュリティ担当者にも、メール訓練を実施することや疑似攻撃メールの配信時間、訓練対象者などを訓練当日までにあらかじめ知らせておきます。そうすれば、訓練対象者が判断に困ったり混乱したりしていてもしかるべき人がすぐに対処でき、業務への影響を最小限に抑えることができます。現場の上長やセキュリティ担当者も訓練対象に含める場合は、訓練期間を短くするなどして早期に業務が復旧できるようにするといいでしょう。

添付ファイルを開封したりURLリンクをクリックしたりした人に対しては、その先に表示する画面にその人が取るべき行動を明記し、混乱を最小限に抑えられるようにしましょう。例えば、報告先や報告方法に加えて、「このメールは訓練ですので、ネットワークを切断する必要はありません」などと記載しておくと訓練対象者は混乱せずに済み、業務への影響も軽減できます。

さらに、報告フローに従ってセキュリティ担当部門に連絡をしてきた訓練対象者には、訓練だということを個別に告げて「種明かし」をし、業務への影響の拡大を防ぎましょう。

対策２．影響を考慮して配信の範囲を縮小、タイミングを分散

業務への影響を小さくするには、疑似攻撃メールの配信の範囲を縮小したり、タイミングを分散したりするとよいでしょう。
配信先が少なくなれば、上長や担当部門への問い合わせが減り、上長の対応が必要な事態も少なくなります。また、業務に影響が及ぶ範囲や規模を把握しやすくなるメリットもあります。さらに、職場内の情報共有による教育効果の低減もある程度防ぐことができます。
メールを配信するタイミングを分散するには、配信間隔をあける、複数日に分けるなどの方法があります。
全社員にメール訓練を受けさせたい場合は、セキュリティ担当部門のキャパシティや訓練当日に発生する負荷をあらかじめ想定し、態勢を整えておくことが重要です。

対策３．実在する組織名・人物名は使用しない

疑似攻撃メールに使用する組織や人物の名称は、実在する組織や人物の名称やそれに類似するものは用いず、自組織のものを利用することをお勧めします。その場合でも、必要に応じて関係する部署に事前に許可を得ておきましょう。疑似攻撃メールに使用する組織名については、情報処理推進機構（IPA）からも注意を促す案内^*が出ています。

また、送信元メールアドレスに問い合わせが来る場合もあるため、送信元メールアドレスも他組織のものではなく、自身もしくは訓練を実施するベンダーが管理しているものにしましょう。

他組織の名称を用いないメール例と、他組織の名称を用いたメール例 — 他組織の名称を用いない疑似攻撃メール例。

①実在の組織でない
②電話番号など連絡先は記載しない

①実在する組織名
②電話番号が記載されている
※実在する組織の場合、電話番号が記載されていなくても調べれば連絡先がわかってしまう

訓練の積み重ねで徐々に効果を高める

ここまで述べた対策は、業務への影響の軽減を一番の目的としています。そのため、場合によっては訓練効果が低減する可能性がありますが、訓練の回数を重ね、訓練対象者・担当者ともに慣れてきた時点で対象範囲を拡大する、疑似攻撃メールの難易度を上げるなどにより、効果を徐々に高めることができるようになります。例えば、当社のあるお客様は、社員が多く在籍することから、訓練による業務への影響を軽減するため初回は全社員を対象とするのではなく、試験的に抽出した社員のみを対象に訓練を行い、事前の準備・計画から訓練当日の動き、セキュリティ担当部署の負荷までを確認していました。また、次の訓練時に対象者の範囲を決定する際に初回の訓練結果を生かし調整を図っていました。このように、業務への影響を軽減しつつ訓練を成功に導くには、自組織の規模や業務の実情などに合わせ、長期的な視野に立って実効性のある計画を練るようにしましょう。
不審メールに対する社員の意識は、わずか1回の訓練で劇的に効果が表れるものではありません。メール訓練を定期的に実施することにより少しずつ改善を図っていくことが重要です。

おわりに

疑似攻撃メールは、引っかかったとしても実害はありませんが、訓練対象者にとっては受信した時点で不審なメールに他なりません。訓練担当者としてメール訓練を成功させるためには、今回ご紹介したように、訓練中に起こりうる問題を予測し、事前に対策を練ることが重要です。想定外のことが起きる可能性をできる限り小さくすることで、1回の訓練で得られる最大の効果が得られることになります。
ラックでは、累計500社を超える企業で実施した訓練実績をもとに、混乱を最小限に防ぐ方法を幅広く蓄積しています。