ブログ

標的型攻撃メール訓練のサービスの選び方:事前検証のポイント

「標的型攻撃メール訓練サービス」を選ぶ際、基本的な訓練機能に各社大きな差はないように見えることでしょう。しかし、企業の情報システム環境、ひいてはセキュリティ対策も様々ですから、それに対応できる「相性」を見極めなければなりません。自社の環境に対応できるのかどうかは、訓練の効果にも大きな差をもたらします。

この記事では、標的型攻撃メール訓練サービスを比較検討されている方がどのような観点で検証すると良いか、チェックポイントをいくつかご紹介したいと思います。

 

標的型攻撃訓練メールサービス検証のポイント

1.本番訓練メール送信前に、納得がいくまで事前テストを実施しよう

標的型メール訓練の際には、必ず、送信・受信・開封検知が正確に行われることを確認するための「事前テスト」をしましょう。事前テストでは、メールクライアントのセキュリティ設定で迷惑メールフォルダに振り分けられないか、開封時コンテンツを開封・クリックした際に正しく集計できているかなどを中心にチェックします。検証が複数回に及ぶこともありますので、事前テストが何度でも送信可能だと便利です。

Selphishでは、受信や開封検知の確認を行うための「事前送信モード」を提供しています。契約送信数を消費することなく 何度でも事前テストによる確認をしていただけます。

2.訓練メールが迷惑メール扱いになりにくくする工夫

訓練メールが迷惑メールフォルダに振り分けられてしまうと、社員の皆さんの目に触れる前に隔離されてしまうため、訓練がきちんと成立しません。

そのため、事前テストにおいて下記のポイントを確認してください。

・メールクライアントやブラウザメールなど、組織内で推奨しているメールサービスやデバイスで正しく受信できるかどうか

・迷惑メール扱いになってしまう場合、メールシステムのホワイトリストに送信元IPアドレスや差出人メールアドレスを設定する(迷惑フォルダへの振り分けを回避できる可能性があります)

社内で  Workspace(Gmail)やMicrosoft365(Outlook)を使っている場合、サービス独自のセキュリティポリシーがあり、送信したメールが隔離される、または送信自体がブロックされる可能性があります。

Google WorkspaceやMicrosoft365では、受信ボックスで受信できる設定などについて、管理者やサービス提供元に確認するようにしましょう。

3.訓練メール配信のスロットリングを回避しよう

短時間に大量のメールを送ると、大量のメールを送り付けるスパムメールの対策などで利用されるセキュリティ対策(スロットリングといいます)により規制がかかり、設定した訓練メールが送信できないことがあります。

メール規制がかかった場合は、メールの送信間隔や一度に送る通数を調整しましょう。

Microsoft365などは独自の基準を設けているようですが、基準を詳細に公開すると悪意のあるユーザーに悪用されてしまうため、セキュリティ上の観点から詳細な対策は公開されていません。

Selphishでは訓練メールの送信間隔を秒単位で調整できます。訓練メール連続送信によるブロックの有無を事前に確認することが可能です。

メール訓練のノウハウと
効果的な進め方教えます

これを読めば全てがわかる!メール訓練でお持ちのお悩みや疑問について開設しています。

資料には以下のことを紹介しています。

  • メール訓練サービスの選び方
  • メール訓練の選び方
  • サービスの必要性とその効果
  • メール訓練の効果的な実施フロー

ぜひお役立てください。

お役立ち資料をダウンロード

4.訓練メールの差出人アドレス、ドメインを選び、正しく設定する

「実際には存在しないドメイン」からのメールは、悪意のあるなりすましメールでも使用されていることから、セキュリティ設定によっては最初から迷惑メール扱いとなる場合があります。そのため、存在しないドメインなどを使用したい場合は、事前にテストを行い、正しく受信できるかどうか確認してください。

最近のメールサーバは、「SPF」という、メールの送信元を偽装 していないかDNSでチェックするメール配信の仕組みが設定されていることが受信の条件になっています。そのため、事前にメール訓練システムが使うメールアドレスは、これに対応していることが必要です。

Selphishでは、差出人アドレス用にお使いいただける、SPF設定追加済のドメインをいくつかご用意していますので、そのままお使いいただけます。

5.どんなタイプの訓練が可能か(添付ファイル・リンク)

訓練メール送信に、Microsoft Office製品のファイルは対応しているか、また任意のリンクの埋め込みが可能か、自社のコミュニケーションでよく使われている形式ではどうかなどを確認しましょう 。最近のよくある脅威に対応できるかという点もチェックしたい観点の一つです。

今年3月から活動再開が確認されるマルウェアEmotetでは、500MBを超えるdocファイル形式が添付されている例もあるようです。

https://www.jpcert.or.jp/at/2022/at220006.html

6.訓練の目的を推進する機能があるか

基本的な訓練機能は各サービスで大きな違いはないように見えても、訓練の目的を推進するサポートやオプションに違いがあります。「種明かしコンテンツ」など教育的な情報のバリエーションや表示インターフェースをチェックしましょう。それは自社の社員にとって十分わかりやすいものを提供できているでしょうか。また、自社で普及させたいメッセージ、例えばセキュリティに関する連絡・相談先などのコンテンツを盛り込むことができると便利でしょう。

Selphishでは使いやすいコンテンツを豊富にご提供して「部署や役職などでグループを設定しグループごとの開封率を確認する機能」や、訓練の目的であるセキュリティ教育の推進に役立つ「開封してしまった人が教育コンテンツを閲覧したか確認できる機能」は特にご好評いただいています。

7.訓練メールのリンククリックや添付ファイル開封が集計できるか

最後に、訓練メールの送受信の確認とともに、必ずご確認いただきたいです。集計がうまくできないと、現状把握やセキュリティ耐性の検証ができないので、特に重要です。

集計時によくある問題は、およそ次の2つの状況です。

エラー理由

①メール開封時にコンテンツ(ファイルやリンク)を開封したのに、集計画面のほうで「開封」とならない

こので多いのが、メールクライアントのプレビュー機能での閲覧やWordやExcelの保護ビュー機能(※)が有効になっている場合の閲覧です。これはセキュリティ保護の機能なので、実際には問題ではないと考えることができます。

ただ、訓練として、メールに添付されたファイルを安易に開かせないという意味で、保護ビューですら見てもらいたくない場合には工夫が必要です。対処としては、開封時コンテンツに保護ビューの解除を促す文言を追加することがあります。しかし、訓練対象者の操作に依存するため、開封者数の正確性を求める場合には添付ファイルではなく、リンク形式やzip形式での訓練をすると良いでしょう。

※保護ビュー:Office2010から追加された機能で、 コンピュータに害をもたらすウイルス、ワーム、その他のマルウェア類が含まれている可能性があるファイルから、コンピュータを保護するために読み取り専用として閲覧する仕組み。保護ビューを利用すると、そのファイルの内容を確認し、リスクを軽減しながら編集を有効にすることができます。

②メール開封時に訓練コンテンツを開封していないのに、集計画面のほうで「開封」となってしまっている

このケースでよくある原因は、セキュリティ対策製品が訓練メール本文内のリンクや添付ファイルを検疫(解析)するため、メール訓練の集計のほうでは「開封」と検知されることが考えられます。

また、検疫による開封かどうかを確認できる手段について、検疫システムのサービス提供元に事前に確認しておくとよいでしょう。

最近の標的型攻撃メール、フィッシングメールなどは大変巧妙で、一見して見分けることは困難を極めています。そのため、開封させない(開封率を見る)ための訓練と同時に、を訓練の方向性として検討してみてはいかがでしょうか。開封してしまった場合に参照できるよう、連絡・相談の手順を教育コンテンツに盛り込んでおくことも有効です。

 

まとめ

いかがでしたでしょうか。

正直、「意外と確認ポイントが多いな」と思われたかもしれません。

簡単に導入できることがSaaS型メール訓練サービスの特徴ですが、意図通り訓練ができなくては導入した意味がありません。残念な選択にならないよう、導入前にぜひご確認ください。

実際、Selphishをご利用のお客様でも、セキュリティポリシーや使用されているメールクライアントによって状況は様々です。中には特別な設定などの調整をしなくても、すんなりと訓練実施ができるお客様もいらっしゃいますが、この記事に示したように、あらかじめ設定の調整や工夫が必要であることもあります。そこで、Selphishをご検討中のお客様には、上記のような確認ポイントやエラー発生時の対処方法をまとめた資料をご提供しています。検証用アカウントを、Selphishの検証に特化した内容を含む完全版もご提供しています。

ぜひ、Selphishのご活用をご検討ください。

メール訓練のノウハウと
効果的な進め方教えます

これを読めば全てがわかる!メール訓練でお持ちのお悩みや疑問について開設しています。

資料には以下のことを紹介しています。

  • メール訓練サービスの選び方
  • メール訓練の選び方
  • サービスの必要性とその効果
  • メール訓練の効果的な実施フロー

ぜひお役立てください。

お役立ち資料をダウンロード

Selphishを使ってみる

無料でお試しはこちら

ページの先頭へ