標的型攻撃メール訓練 効果を高めるテンプレート選びと活用のコツ
標的型攻撃メール訓練は、従業員が不審メールを受信した際に気づけるかや、万が一開封してしまった場合でも、社内の報告フローに従って適切に行動ができるかを確認することで、組織全体のリスクの把握とセキュリティ意識を高めるために実施されます。
メール訓練は、単に不審な内容を装ったメールを送るということではなく、訓練の目的に合わせたメール内容にすることで、訓練効果は大きく変わってきます。
本ブログでは、訓練目的に応じたテンプレート選びの方法や、訓練効果をアップさせるためのテンプレート活用のコツまで、実践的なポイントを解説します。
まずはメール訓練の目的を整理する
訓練内容を決める前に、まずは目的を整理することが大切です。
目的が定まっていないと、
- ゴールの設定
- 適切な訓練内容
- 評価の基準
が曖昧になってしまい、訓練全体の成果や効果が見えづらくなってしまいます。
メール訓練における目的は以下のような内容が一般的です。
- 開封率を下げる
- 報告率を上げる
- 最新の攻撃パターンを周知する
また、上記の目的と合わせて、訓練を通して組織のインシデント体制に問題がないか確認したり、訓練結果から部署や役職ごとの弱点などを可視化することもおすすめです。
目的に沿った訓練設計を検討する
訓練目的が決まれば、目的に沿って送信対象者や難易度、訓練内容を検討します。
例)
目的:メール訓練を初めて行うため、まずは自社のセキュリティレベルを把握する
送信対象者:経営層を含む全社員
難易度:まずは典型的な手口で引っかかるのかを把握するため、低難易度にする
訓練内容:ドメインや本文に攻撃メールかどうか見分けるポイントを作る
また、訓練効果の測定や次回の訓練を検討する上で、全社や部署単位での開封率・報告率の数値を取得することも重要です。より詳細の訓練の進め方については、こちらのブログもご覧ください。
▼標的型攻撃メール訓練-中級編-:メールの開封率の低下を目指そう!
▼標的型攻撃メール訓練-上級編-:開封率の維持と通報率100%を目指して
ここから具体的にどのような訓練内容にするべきか、ご担当者が最も悩まれるポイントではないでしょうか。部署や役職ごとに複数パターンを考えるのは負担が大きい、という声もよくお聞きします。
フィッシング対策協議会や警察庁のサイトで公表している実際のメール文例を参考にする方法もありますが、メール訓練サービスが提供するテンプレートを活用することもおすすめです。
訓練の目的を整理した上で、適切なテンプレートを選ぶだけで手軽に訓練メールを作成できます。ここでは、目的別にいくつかのテンプレートをご紹介します。
目的別おすすめ訓練メールテンプレート
① 開封率を測るための“典型手口”テンプレート(2例)
「訓練自体初めてのため、まずは現状の開封率を把握したい」「初回訓練の開封率が高かった」といった場合は、まずは典型的なフィッシングの手口や誘導パターンを知り、不審なメールに対する違和感を持ってもらうことが重要です。
テンプレート①:請求書に関する内容
いつもお世話になっております。株式会社xxxxxです。
ご注文いただきました商品の請求書についてご連絡させていただきます。
添付ファイルにて「請求書」を送付させていただきました。
請求詳細、ご注文者様情報にお間違いがないかご確認ください。
(リンクURL)
ご確認よろしくお願いします。
株式会社xxxxxx
実務でのやり取りが発生する請求書に関するテーマは典型的なフィッシングの手口の一つです。見覚えのない会社から届いた場合や、通常とは異なる方法で請求書が共有された場合など、リンクをクリックする前にまず「怪しい」と感じる意識づけにも効果的です。
テンプレート②:オンライン注文確定通知に関する内容
〇〇様
ご利用いただき、ありがとうございます。
お客様のご注文を承ったことをお知らせいたします。
詳細は、下記からご確認ください。
注文合計:¥51,476
支払い方法:
クレジットカード一括払い ¥51,476
注文番号:127-245674-567359
注文履歴はこちら
(リンクURL)
オンラインショップに関するメールは、実際の攻撃でもよくある手口の一つです。身に覚えのない注文や金額に驚いて、思わずリンクをクリックしてしまう内容ですが、想定外の注文通知は不審であると気づけるかどうかがポイントです。このような典型的な手口のテンプレートは、初回訓練や基礎レベルの確認に有効です。
② 報告行動を促す“社内業務型”テンプレート(3例)
現状の開封率が把握できると、次は開封率の低下を目指すとともに、報告率を上げていくこともメール訓練では重要です。
メール難易度は前回訓練時の開封率などによって変わってきますが、典型的な手口での訓練が終わっている場合は、難易度を上げていくこともおすすめです。
テンプレート③:健康診断に関する内容
〇〇様
お疲れ様です。健康診断担当です。
健康診断の結果、再検査が必要となりましたので、ご連絡致します。
詳細については、下記リンクをご参照下さい。
(リンクURL)
至急ご確認の上、日程を決定下さい。
以上、よろしくお願い致します。
健康診断担当
テンプレート④:社内会議に関する内容
各位
役員会で話し合った内容を共有いたしますので、以下の URL からご確認ください。
内容に関する質問がございましたら、掲示板にコメントをお願いいたします。
(リンクURL)
経営企画室
テンプレート⑤:福利厚生に関する内容
〇〇様
福利厚生サービスをご利用いただきましてありがとうございます。
サービスご利用者の皆様から無料航空券が当たる抽選を実施致しました。
厳選なる抽選の結果、無料航空券3万円分がご当選となりますので、ご連絡致します。
無料航空券を郵送させていただきますので、下記リンクにて郵送先を登録いただきますようお願い致します。
(リンクURL)
以上、よろしくお願い致します。
福利厚生担当
社内からの連絡を装ったものや、ファイル確認を促す内容は、業務上関心を引きやすく、開封されやすい傾向があります。給与・福利厚生に関する内容や、社内手続き・システム通知に関するものなどでも、すぐにリンククリックやファイルの開封をせず、怪しい点はないかを確認する意識づけと、報告を徹底してもらうことを教育できます。
③最新攻撃を体験させる“高度化手口”テンプレート(2例)
攻撃者の手口は年々巧妙化している中、最新手法を知ることも対策の一つです。
テンプレート⑥:QRコードフィンシングを想定した内容
〇〇様
お疲れ様です。情報管理部です。
令和7年度x月よりインターネット接続方法を変更します。
インターネットをご利用の方は設定の変更を行ってください。
■設定変更方法:
以下よりご確認お願いします。
以上
管理部
QRコードを用いたフィッシングメールや、添付ファイル内にQRコードが埋め込まれている事例も確認されています。QRコードから不審なサイトにアクセスする恐れがあるため、訓練を通じて、安易に読み込まないように注意喚起を行うことができます。
テンプレート⑦:Clickfix攻撃を想定した内容
◼︎メール本文
〇〇様
お客様のアカウントに対して、異常なアクティビティが検出されました。
ロックを防ぐためには、下記のQRコードをスマートフォンでスキャンし、本人確認を行ってください。
(リンクURL)
本人確認が完了しない場合、アカウントへのアクセスが制限される可能性があります。
セキュリティチーム
◼︎リンク先フォーム
Clickfixは、偽のCAPTCHA画面などで一定の操作を指示する画面を表示し、その指示に従うことでマルウェアに感染させるといった攻撃手法です。メール内のリンクから、上記のようなフォーム画面に遷移させて操作をするように誘導します。
最近では、リンク先からフォームに遷移させて認証情報を盗んだり、マルウェアに感染させるといった攻撃も確認されています。リンククリックや添付ファイルの開封だけではなく、詐欺フォームの攻撃に備えた訓練もおすすめです。
テンプレート活用のコツまとめ
訓練効果を高めるためには、テンプレート選びは非常に重要です。活用のポイントとして、以下を意識すると効果的です。
- 訓練の目的を整理し、全体の設計を行う
- 目的に合った訓練内容を検討する
- 自社の現状レベルを把握して、それに沿った内容に調整する
- 部署や役職ごとに適した内容かどうかを検討する
- 訓練結果を振り返り、次回の訓練に反映する
また、毎回同じテーマや内容ではなく、時期や最新の脅威に沿って内容を変えることで、セキュリティ意識の向上を期待できます。
Selphishはテンプレート100種類以上を提供
神戸デジタル・ラボが提供するメール訓練サービス、「Selphish(セルフィッシュ)」では、今回ご紹介したようなテンプレート含め、100種類以上を提供しています。
目的やレベルに応じた訓練を手軽に設計でき、最新の攻撃手口にも対応した訓練が可能です。自社のメール訓練をご検討される場合は、ぜひご参考ください。
