SaaS型や委託型に限らず、標的型攻撃メール訓練の実施で意外に手間がかかるのが、訓練で使用するメール文例と種明かしのコンテンツ制作です。
メール訓練は避難訓練と同様、継続することが重要ですが、毎回似たような内容だとマンネリ化し、メールのタイトルと文面だけで、従業員に「訓練メールが来た！」と判断されてしまいます。それは訓練としての効果が出ているという風にも考えられますが、様々なパターンに強くなってほしいというのが運営側の思いではないでしょうか。

とはいえ、毎回イチからどんな文例がいいのか考えるのは大変…。
神戸デジタル・ラボ（以下 KDL）の標的型攻撃メール訓練サービス「Selphish（セルフィッシュ）」のお客様アンケートでも、５人に１人以上が「メール文面の内容の検討に課題を感じている」という結果でした。

そこで、本ブログではお客様からご相談いただいた際にご紹介している、メール文面づくりの参考になる代表的なサイトをご紹介します。

また、次回のブログではコンテンツを参考に作成した、送付する部門別のメール文例もご紹介します。

訓練でメール文例にお悩みの方はぜひ、参考にしていただければ幸いです。

情報収集の参考になるサイト 

フィッシング詐欺対策協議会（事務局：一般社団法人 JPCERTコーディネーションセンター）

https://www.antiphishing.jp/

フィッシング詐欺に関する幅広い情報が集まるサイト。
フィッシング詐欺の情報を一般ユーザーから報告するフォームもあり、報告された情報は緊急情報などに掲載。実際に届いたメール文例も確認できます。
自社で怪しいメールが届いたら、公式サイトのほか、フィッシング詐欺対策協議会のサイトを確認してはいかがでしょうか。

サイバーポリスエージェンシー （提供：警察庁）

https://www.npa.go.jp/bureau/cyber/index.html

トップページの注目情報には、警察庁が発表した注意喚起情報が掲載されており、最新の脅威を確認できます。

また、広報・統計ページ（https://www.npa.go.jp/bureau/cyber/koho/statistics.html）にある「サイバー空間をめぐる脅威の情勢等について」 は、直近6か月のランサムウェア被害件数や侵入方法などが掲載されていて、攻撃に使われたメールの画像なども確認できます。
最新情報と併せて過去のデータも確認できるので、文例作成の参考となります。

情報処理推進機構（IPA） 

https://www.ipa.go.jp/index.html 

情報技術・情報処理に関する日本有数のサイト。特にサイバーセキュリティに関する情報が豊富です。マルウェアに関する情報のみならずMicrosoft製品やAdobeなどのソフトウェアや機器の脆弱性の公表もしており、日ごろからチェックして損はないサイトです。特にEmotet（エモテット）やランサムウェアについては専用サイトもあり、最新の脅威についても確認することができます。

訓練メール作成のポイントと注意点 

ポイント１：訓練の目的に沿っているかを確認する 

訓練メールを作成する際には、訓練の目的を改めて確認してみましょう。
社内のセキュリティポリシーに応じた行動ができるか試したい場合は、開封率の高いメールを送り、どれだけ報告やアクションがあったか集計するとよいでしょう。

ちなみに、開封率の高いメールは、給与改定通知やメールアカウントのパスワード有効期限切れなど、訓練対象者が興味を示したり、対応が必要となったりする内容が多いようです。
また、実際に使われた攻撃メールを活用することで、攻撃メールを見破ることができるか確認することも、訓練方法のひとつでしょう。
メール訓練の目的と効果測定のポイントは、こちらのブログでも紹介しています。

標的型攻撃メール訓練の目的と効果測定のポイント 

ポイント２：文面に見分けポイントを作る 

訓練メールでは攻撃メールの見分けポイントをつくりましょう。
訓練の目的とも重複しますが、怪しいメールを見分けるための着眼点を理解することも訓練としては重要です。そのため、必ず「攻撃メールと注意する時の着眼点」を入れるようにしましょう。

IPAが公表している攻撃メールの特徴

• メールの受信者に関係がありそうな送信者を詐称する
• 添付ファイルや本文中のURLリンクを開かせるため、件名・本文・添付ファイルに細工が施されている

（出展：IPA　J-CRAT 標的型サイバー攻撃特別相談窓口「標的型攻撃メールの見分け方」）

訓練メール作成時の注意点  

〇関係ないアドレスや電話番号を載せない
〇管理していない実在する差出人アドレスは使用しない 

メール訓練サービスでは送信元のアドレスやドメインを変更できるため、例えば取引先のメールアドレスを偽装して訓練実施が可能です。
しかし、訓練対象者の従業員が返信したり問い合わせたりする恐れもあり、実在する企業に迷惑がかかりトラブルの原因ともなりえます。ダミーのアドレスや電話番号、もしくは自社で自由に作成できるメールアドレスを使うなどを検討ください。 

まとめ

メール文例を考える際に参考となるサイトや訓練メール作成時のポイントを紹介しました。

実際の訓練ではどれだけ開いたかの「開封率」が気になるところではありますが、日々巧妙化する攻撃メールを見破ることは困難な状況です。そこで、社内ルールにのっとりしかるべき部署に報告できているかをKPIとする企業もあります。

「報告」ルールを徹底しサイバー犯罪に警戒（バンドー化学様） 

KDLが提供している、Sass型標的型攻撃メール訓練「Selphish」では、ここで紹介したような訓練メールテンプレートを用意しています。2022年12月16日には、訓練メールのテンプレートの拡充を実施し、計30種類以上となりました。

訓練形式は、ExcelやWordの添付ファイル型、URLの埋込み型に対応。実際の攻撃メールに近い形式での訓練が始めやすい設計です。 費用も送信通数が多いほどお得になる価格設定なので、複数回の訓練もお得に実施できます。業務委託型の訓練サービスも提供できますので、メール訓練サービスに興味があればぜひお問い合わせください。

◎業務委託型メール訓練サービスProactive Defense
https://www.proactivedefense.jp/services/training/targeted-email-attacks-training