標的型攻撃メール訓練の効果的なシナリオ作成方法
サイバー攻撃の手口が巧妙化する中、企業や組織における従業員のセキュリティ教育の重要性がますます高まっています。
特に、標的型攻撃メールは、従業員を騙して機密情報を盗む巧妙な手段として利用されることが多く、対策には従業員のセキュリティ意識を高めるための訓練が不可欠です。本記事では、効果的な標的型攻撃メール訓練のシナリオ作成方法について、具体的な方法とポイントをご紹介します。
近年の標的型攻撃メール
標的型攻撃メールは、不特定多数にばらまくスパムメールとは異なり、特定の組織や個人を狙って情報窃取等を行うもので、年々その手口が巧妙化しています。
例えば、取引先の関係者を装って悪意のあるサイトへのリンクを送付したり、、書類が発生しやすい契約や手続き関連のメールでマルウェアを仕込んだ添付ファイルを送付するなど、気を付けていないとうっかり開いてしまうような手口が増えています。
生成AIの発展や国内組織による攻撃も増えたため、文面の違和感では見抜けないようなものもあります。
効果的なシナリオ作成のためのポイント
巧妙化する攻撃に対して効果的なメール訓練を実施するには、現実的でリアルなシナリオを作成することです。以下の基本原則を念頭に置いて、シナリオを作成しましょう。
リアリティを持たせる
訓練で使用するメールは、実際に業務で使用される言葉や内容を反映したものであるべきです。従業員が「怪しい」と感じるより前に、通常の業務メールの一部として見えるようなものがよいでしょう。
ただし、あくまで訓練なので、見分けるポイントが必要です。ドメインが怪しいとか、実在しない部署名、送信元が知らない人、など受信者が見分けられるポイントを入れましょう。
業務連絡のメールをそのまま使うと、「騙すだけ」になってしまいます。
また、実在する組織名を使うとトラブルになる場合がありますので使わないようにご注意ください。
例
- 社内の定期的な会議の通知メールを装い、会議資料へのリンクをクリックするよう促す。メールは、通常使用しているフォーマットや送信者を模倣し、見慣れた表現を使う。
- システム部門から、緊急セキュリティアップデートのために、パスワード変更を促すメールを送信。リンクをクリックさせ、訓練用のページに誘導する。
ターゲットや時期に合わせる
訓練を受ける従業員の役割や業務内容に基づいて、その従業員が当事者であると感じるようなシナリオにします。また、特定の時期に即していることもポイントです。
Selphishの場合、3か月に1回程度、最新の攻撃メールをもとにしたテンプレートを追加しています。流行しているものを活用することで、時流に応じた訓練も可能です。
例
- 経理部門の従業員に対して、上司を装ったメールで「緊急の支払い依頼」として、添付した請求書の確認と支払い処理を求める。
- 健康診断の時期に、健康診断結果のお知らせを装ったメールでリンクを送る。
報告を考慮する
訓練メールを発見したら上司やセキュリティ担当部門への報告を促すように設計し、従業員の対応を評価します。
例
- 訓練を実施する前に、社内で怪しいメールが届いた場合の対処方法や報告ルートなどを作成し、社内に周知した上で、訓練を実施する。
具体的なフィードバックを行う
開封者や未報告者の行動に対して、どう行動するのがよいかを具体的にフィードバックします。
例
- 不審点に気づかず開封したため、見分けるためのポイントを指導する
- 不審点に気づいたため開封はしなかったが報告しなかったため、報告経路を指導する
フィードバックの活用法は以下も参考にご覧ください。
訓練結果の共有
訓練後、社内に対して開封率や報告率などの訓練結果を共有することで、従業員の当事者意識を高め、意識向上に寄与します。
例
- 開封率や報告率を報告するとともに、できていた部分を褒め、注意を喚起して次回につなげるメッセージを伝える。
- 部門ごとにMTGなどで結果を周知してもらうようにし、セキュリティ意識の浸透を図る
シナリオの評価と改善方法
訓練後は、結果を評価し、必要に応じてシナリオの改善を実施します。
開封率・報告率の分析
訓練メールがどれだけ開封され、リンクがクリックされたか、またどれだけの従業員が報告したかを確認し、リスクがどこにあるかを分析します。また、これまでとの比較によって、どのような場合にリスクが大きいかや、従業員の意識が変化しているかどうかを確認します。
Selphishの新機能を使うと複数回での開封傾向を確認できます。
参考:複数回のトレーニングにおける個人別の結果推移を一覧で確認できるようになりました
従業員の声の収集
訓練を受けた従業員からアンケートやインタビューで従業員の意見や感想を集め、どこが弱いか、どの部分が報告のボトルネックになったか、または効果的であったかを確認します。
Selphishではアンケート機能が無料で使えるため、従業員の声を収集することもコスト負担なく可能です。
次回シナリオの検討
開封率・報告率とフィードバックをもとに、次回のシナリオを検討します。
まとめ:訓練効果を最大化するために
標的型攻撃メール訓練のシナリオというと、訓練メールを送付して反応を見るまでのことを考える方もいらっしゃるかもしれません。しかし、メール訓練の本来の目的はリスク分析と従業員の教育です。
訓練から分析、社員への教育を通じて組織がセキュリティに強くなっていく、までをシナリオとして捉えてください。
また、メール訓練は継続してこそ傾向が分かり効果が得られます。さまざまな要素が折り重なる中で分析が難しい部分もありますが、やりっぱなしにせず様々なシナリオで継続していきましょう。
Selphishでは、シナリオの一部として利用できるテンプレートを多数そろえており、自由にカスタマイズしてご利用いただけます。
また、無料で使えるアンケート機能や訓練の結果を比較できる機能など、改善の元となるデータを集める機能も付いています。
有償版のすべての機能が無料で使えるデモ環境を用意していますので、訓練サービスをお探しの際にはぜひご利用ください。
ご希望の方は、お問合せフォームより、デモ環境希望と記載してお申し込みください。
