CYBER SECURITY LAB

標的型メール攻撃トレーニングって? 内容や効果を紹介

2021.12.17

  • シェアする
  • facebook
  • twiiter
  • line

email-g35d7b1ae6_1920.jpg

企業を狙う様々なサイバー攻撃の中でも、特に身近な脅威が「標的型メール攻撃」です。

今回は、企業において行うべき標的型メール攻撃に対するトレーニングの概要をご紹介します。

標的型メール攻撃とは

通常の迷惑メールは、不特定多数を対象としてばらまかれます。そのため、文面は画一的であり、有名なショッピングサイトやクレジットカード会社、銀行などを騙っていても、宛名や使用しているサービスなどが受信者に一致しておらず、不審さに気づきやすくなっています。

一方標的型メール攻撃は、企業や組織の人員に対して業務に関係する内容や実在する取引先の担当者を騙り、正式な相手であると被害者が信じるように差し向けます。ばらまき型の迷惑メールに慣れている人でも、標的型メール攻撃だと内容を疑うことなくメール本文中のリンクを開いてしまったり添付ファイルを展開してしまうほどに、巧妙に偽装されているのです。

セキュリティソフトによる対策の限界

標的型メール攻撃で用いられるマルウェアはセキュリティ対策ソフトで検出されないものが多く、気づかない間に感染が拡大し大きな被害に繋がるケースもあります。標的型メール攻撃ではしばしばWord文書やExcelファイルのマクロ機能が悪用されます。インターネットや外部からダウンロードしたOfficeファイルは、開いたときにマクロを無効化したという警告が表示されます。この状態であれば、マルウェアのダウンロードや情報窃取は実行されません。しかし、標的型メール攻撃においては被害者がメールを正規の相手からのものだと信じてしまうため、無効化されたマクロを再度有効化してしまい、結果マルウェアに感染してしまいます。

セキュリティ対策ソフトでも、標的型メール攻撃で用いられる文面や添付ファイルの特徴を検知する機能が搭載されていることがありますが、日々巧妙化していく攻撃全てを防ぐことはできません。そのため、メールを受け取る従業員一人ひとりが標的型メール攻撃の手口を知り、日頃から注意を払うことが大切です。

標的型メール攻撃トレーニングサービス

前述のように、標的型メール攻撃への対策では攻撃の手口をよく知ることが重要です。ここで役立つのが、各社が提供している標的型メール攻撃トレーニングサービスです。

標的型メール攻撃トレーニングは、サービスを提供する企業によって社内に模擬の標的型メールを送り、不審さに気づかずメール内のリンクを開いたり添付ファイルを展開した場合に標的型メール攻撃に対する教育コンテンツを表示するサービスです。標的型メールであることに気づけなかった従業員を対象として、効果的にセキュリティ意識を啓蒙することができます。

標的型メール攻撃トレーニングは世界中で利用されており、多くの企業が社員教育に役立てています。

トレーニングで確認すべきポイントを知る

標的型メール攻撃の文面は、取引先の担当者名や普段やり取りしている内容、添付ファイルの種類などを真似るため、一見して不審な点を見つけにくくなっていますが、件名や文面に一定の特徴が現れることがあります。標的型メール攻撃トレーニングでは、様々な種類の偽装メールを利用できるため、、特定のメールにおける不審な点だけではなく、幅広い内容のメールにおいて確認すべきポイントを知ることができます。

被害を受けた後の対処も学べる

怪しい点が分かりやすい攻撃メールであっても、多くの人が集まる組織では気づかずに開いてしまう人がどうしても出ます。普段は注意深い人でも、偶然に気づかず開いてしまうこともあるでしょう。

標的型メール攻撃トレーニングでは、攻撃メールを開いてしまった後の対応も学ぶことができます。企業においてマルウェアの感染や情報漏洩が発生した場合は、どれだけ素早く対応が出来るかが重要です。トレーニングでは、攻撃メールを開いてしまったあとに、組織の定めた手順に従って行動するように案内することができます。

従業員が手順通りに担当部門に報告したり、ネットワークから端末を切断したりできるかを確認することで、従業員の習熟度の確認と危機意識の向上を図ります。巧妙な攻撃メールを利用した事後対応の訓練によって、不審メールに引っかからない従業員も当事者意識を持つことを期待できます。

トレーニングの流れ

多くの標的型メール攻撃トレーニングサービスでは、以下のような流れで訓練を実施します。

  1. サービス提供者により、模擬の攻撃メールを従業員に一斉送信
  2. メール本文のURLリンクや添付ファイルを開くと、攻撃メールに対する教育コンテンツページを表示
  3. 教育コンテンツに接続した従業員数や不審メールに気づいた従業員からの報告状況などを集計し、レポートを作成
  4. 企業における標的型攻撃に対する現状と行うべき対策を分析

サービスによって、教育コンテンツの内容や集計レポートの項目・可視化などに差異があります。トレーニングで行いたいことを明確にし、自社に適したサービスを選ぶことが効果に繋がります。

トレーニング実施時の注意点

トレーニングサービスを利用する際は、企業においてどのような効果を求めるのか目的を明確にすることが大切です。

一般的に目的として挙げられるのは、「攻撃メールの特徴を知って実際に被害を受けないようにしたい」というものです。この場合、一般的な模擬攻撃メールを送信し、開いてしまった従業員向けに教育コンテンツを表示することで、標的型メール攻撃の内容と傾向を周知することができます。一方、従業員のセキュリティに対するリテラシーが高い企業では、あからさまな不審メールでは開いてしまう従業員が少なく、高い効果が見込めない場合があります。

別の目的として、「攻撃を受けた後の対応ができるかを確認したい」というものがあります。この場合、偽装されていると簡単には見抜けないような件名や本文を用いて、意図的に模擬攻撃メールを開く人数を増やします。そして攻撃メールを開いてしまった後の従業員の対応をチェックしていきます。不審メールを見抜けるかどうかではなく適切な対応ができるかを見ることで、訓練に慣れてきた従業員に当事者意識を持たせることを狙います。

これら二つの目的は、多くのトレーニングサービスで実現できます。サービスの利用者が明確な目的を定めることで、効果のある訓練内容を選択することができます。

トレーニング後の分析

標的型メール攻撃トレーニングは、一度きりで終わらず継続して実施することが重要です。継続して従業員の対応を集計し教育効果の推移を分析することで、今の組織に最適な訓練を行うことができます。また、普段の業務でのメールの利用状況から、部署ごと・チームごとに攻撃メールへの対応力に差が出てくることもあります。集計レポートを元に、従業員に合ったトレーニングを継続すると効果的です。

また、事後対応をチェックするトレーニングを継続していく中で、対応手順に改善点が見つかることもあります。トレーニング結果から対応手順や社内ルールなどをより分かりやすく整備していくことで、実際の標的型メール攻撃を受けた際の被害の軽減に繋がります。

最後に

近年、企業におけるサイバーセキュリティ意識が高まる中で注目の集まる標的型メール攻撃ですが、防御のために大切なのは従業員一人ひとりの当事者意識です。トレーニングサービスを効果的に利用し、実際の攻撃に備えましょう。