ブログ

標的型攻撃メール訓練-中級編-:メールの開封率の低下を目指そう!

2023-09-15 セキュリティ, ブログ

標的型攻撃メールに対する社内の耐性を強化するための訓練には、以下の3つのレベルがあります。

初級:初めてのメール訓練を実施する

中級:メール訓練の実施で不審なメールの開封率を低下させること、開封してしまった際の通報率を上昇させることを目指す

上級:メール訓練を定例化して、開封率の維持と通報率100%を目指す

本記事では、初級の訓練をすでに実施した企業の方へ向けて、「中級」レベルのメール訓練の実施方法を紹介します。

中級レベルは一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会 メール訓練手法検討サブワーキンググループ作成のメール訓練手引書(以下、手引書)の「2nd STEP(定期的に訓練を実施し積極的に改善しているフェーズ)」を想定しています。

※初級編については、下記の記事をご覧ください。

・初めての訓練編:メール訓練のすすめかたをご紹介!
https://security-academy.jp/blog/security/post-637/

中級の標的型攻撃メール訓練の目的とゴール

中級の標的型攻撃メール訓練の目的は、社内のセキュリティ耐性を強化するために、「不審なメールの開封率を低下させること」と「不審なメールを開いてしまった際の通報率を上昇させること」の2つです。
ここでいう「開封率」と「通報率」の定義は、以下のとおりです。

<開封率>
標的型攻撃メールの文面中のURLをクリックしたり、添付ファイルを開いたりしてしまった社員の割合
開封率=URLをクリック・添付ファイルを開いた人数÷送信件数×100
<通報率>
標的型攻撃メールの文面中のURLをクリックしたり、添付ファイルを開いたりしてしまった社員のうち、そのことを上長などに報告した人数の割合
通報率=URLクリック・添付ファイル開封を報告した人数÷URLをクリック・添付ファイルを開いた人数×100

中級の訓練では、特に「開封率の低下」に力を入れましょう。

具体的な数値目標としては、手引書によると「開封率0%」は現実的ではなく、一般的には5%前後まで抑えることができる、とあります。まずは5%を目標に設定してみましょう。

なお、「通報率」の数値目標は、中級の訓練においては設定しなくても構いません。通報率の向上は、次のステップの「上級訓練」で目指しましょう。

中級の標的型攻撃メール訓練で実施すべき2つのこと

中級の標的型攻撃メール訓練では、下記の2つを実施します。
1.メール訓練
2.セキュリティ教育

ここからは、それぞれについて詳しく見ていきましょう。

1.メール訓練

メール訓練は、下記の10ステップで実施します。

ステップ1.目的とゴールの再確認
ステップ2.実施日時の検討
ステップ3.実施方式の検討
ステップ4.訓練メールの作成
ステップ5.最終確認
ステップ6.訓練の実施
ステップ7.種明かしの案内
ステップ8.訓練結果の集計
ステップ9.アンケートの記入を依頼する
ステップ10.課題の明確化

以下では、それぞれのステップの詳細を見ていきます。
なお、企業の規模やリソースによって実施の方法は異なるため、ここで紹介する内容はあくまでも参考としてお考えください。

■ステップ1.目的とゴールの再確認

まずは、メール訓練を実施する目的とゴールをあらためて確認しておきます。
記事の冒頭でお伝えしたとおり、中級のメール訓練の目的とゴールは、以下のとおりです。

目的:「不審なメールの開封率の低下」と「不審なメールを開いてしまった際の通報率の上昇」

ゴール:開封率の5%前後までの低下(※通報率の通知目標は中級訓練では不要)

■ステップ2.実施日時の検討

目的とゴールの再確認ができたら、続いてはメール訓練の「実施日時」を検討します。このとき、社員の負担をなるべく減らすため、繁忙期は避けるようにしましょう。

実施日時は、業務が比較的落ち着きやすい時期がよいでしょう。平日が営業日であれば、週初めや週の後半よりは「火曜日」や「水曜日」がおすすめです。

■ステップ3.実施方式の検討

日時が決まったら、次は訓練の実施方式の検討に入ります。
ここで決めるべき項目は、以下の5つです。

a.メールの形式
b.文面の難易度
c.差出人
d.メールの種類数
e.事前案内の有無

それぞれについて、詳しく見ていきましょう。

a.メールの形式

標的型攻撃メールには、「本文中のURLをクリックさせる」タイプと、「添付ファイルを開かせる」タイプの2種類があります。
訓練では、社内でよくある形式のほうを選ぶことをおすすめします。

b.文面の難易度

標的型攻撃メールを本文から見分ける難易度には、段階があります。
最も難易度の低いレベルでは、外国語が混じっていたり、翻訳ソフトを使ったかのように日本語に違和感があったりします。
今回、実施を考えている「中級の訓練」の場合は、日本語は違和感のないものにしたうえで、初級の訓練よりも「見分けるポイント」を少なくして、難易度を高めにすることをおすすめします。

実際のメールでは添付ファイルの種類を偽装することもありますが、設定の難易度が高いため、「メールアドレス」と「本文の内容」で見分けられるように文面を作成してみましょう。

なお、標的型攻撃メールを見分けるポイントの詳細は、下記の記事でお伝えしていますので、参考にしてみてください。

・開いて大丈夫?標的型攻撃メールの見分け方と対応方法を徹底解説!
https://security-academy.jp/blog/security/post-631/

ちなみに、標的型攻撃メールでは、社内の者しか知らないような情報(部署名・業務名・個人名など)が文中に含まれていることがあります。
その場合、標的型攻撃メールだと見分ける難易度が格段に上がるため、中級の訓練ではそこまでする必要はありません。

c.差出人

訓練の際、送信するメールの差出人として設定するのは、「架空の人物」と「社内の実在する人物」の2パターンがあります。
「社内の実在する人物・部署」が差出人のメールは、どうしても警戒レベルが下がりやすいためで、標的型攻撃メールだと見分ける難易度は非常に高くなります。

中級のメール訓練では、差出人は「架空の人物・会社」にすることをおすすめします。
なお、実在する会社や組織の名前を使うと、メールを受け取った社員が問い合わせを行う恐れがあります。あくまで架空の名前を使うようにしましょう。

d.メールの種類数

メール訓練では、「全員に同じ文面を送るパターン」と「数種類の文面を用意してランダムに送るパターン」の2つがあります。
後者の「ランダムに送るパターン」では、部署内の誰かが訓練のメールだと気付いても、ほかの人には送られていないため、訓練としての難易度が高まります。

これは良い訓練になるのですが、実施する側としては「複数のメールを用意する手間がかかること」がデメリットです。
このため、中級のメール訓練の場合には、「全員に同じ文面を送るパターン」で差し支えありません。

e.事前案内の有無

訓練メールを送るにあたっては、「事前に告知をするパターン」と、「告知なしで実施するパターン」の2つがあります。
告知なしの方が難易度が上がるのはもちろんですが、「事前に告知をするパターン」でも告知のタイミングによって難易度は変わります。一般的には告知から送信までの期間が長いほど、開封率は高まります。

そのため、中級のメール訓練の場合は「1週間から1か月前に告知」して、実施してみてはいかがでしょうか。

■ステップ4.訓練メールの作成

メール訓練の実施方式が定まったら、次は実際に送るメールの文面を作成します。
下記の記事で、文面の例を紹介していますので、作成の際の参考にしてみてください。

・5人に1人が課題を感じる「標的型攻撃メール訓練の文章」作成のヒントをご紹介:メール文例編
https://security-academy.jp/blog/security/post-14/

■ステップ5.最終確認

メール訓練の準備が整ったら、実施に向けて最終確認をします。
まずは、メールを見た社員から、セキュリティ部門へ問い合わせがあった際の対応を確認しておきましょう。

対応例は下記の通りです。

・問い合わせをしてきた社員には「訓練であること」を伝える
・訓練であることは他の社員に他言しないように伝える
・通報をした社員の名前、日時と内容を記録する

また、訓練で送るメールの文面によっては、問い合わせがありそうな部署へあらかじめ連絡しておくことも必要です。
例えば、訓練メールの内容が給与関係の場合には、メールを見た社員が人事・総務部門へ確認の電話をしてしまうかもしれません。
このため、混乱を防ぐためにも、あらかじめ人事部門へ連絡をしておくべきです。

以上の準備が整ったら、訓練メールのテスト送信もしておきましょう。

「文中のURLや添付ファイルを正常に開けるか」「迷惑メールとしてブロックされないか」などを確認しておくことで、当日の訓練をスムーズに進められます。

■ステップ6.訓練の実施

最終確認ができたら、あらかじめ決めていた日時に訓練メールを送信します。
ここで注意したいのが、「訓練メールを一度に大量に送信すると、サイバー攻撃と判断されて、送信や受信が停止される場合がある」ということです。
このため、メールの送信の間隔は、一定時間空けるようにしましょう。

受信環境で設定が調整できない場合には、スロットリングなどの制限を回避する方法として、メールの送信間隔秒数を15秒~300秒に設定することを推奨します。
なお、弊社が提供している「Selphish」では、回避策として1通あたり3秒の間隔を空けて送信しています。
この設定では、100通送るのは300秒(5分)で完了しますが、1万通の場合には3万秒(8時間以上)かかる計算になるため、送信する日時は送り終わる時間も考慮しながら検討しましょう。
1日で送信しきれない場合には、送信日時を分けるなどの工夫が必要になります。

・Selphish(セルフィッシュ) ご紹介資料
https://security-academy.jp/download/dl_selphish/

また、送信が完了したら、それから数日間は、訓練メールを見た社員からの問い合わせに対応しなければなりません。
問い合わせ先の担当者の負荷を軽減するためには、電話などで直接、担当者へ連絡がくることが少なくなるように、問い合わせフォームや報告ツールなどへ誘導することをおすすめします。
ほかにも、セキュリティ部門では、URLをクリックしたり、添付ファイルを開いたりしてしまった社員からの通報も受け付ける必要があります。

■ステップ7.種明かしの案内

訓練メールを送った3~5営業日後には、「種明かし」の案内をします。
この種明かしの案内では、「訓練用のメールを送ったこと」と「今回送ったメールの見分けポイント」を伝えましょう。

■ステップ8.訓練結果の集計

訓練メールを送った3~5営業日後から、結果の集計を始めます。
ここで見るべき指標は、「開封率」と「通報率」の2つです。
後ほど分析がしやすいように、「企業全体」と「部門ごと」に分けて集計することをおすすめします。

■ステップ9.アンケートの記入を依頼する

集計が完了したら、社員の訓練に対する意識や教育の効果を確認するため、アンケートの記入を依頼します。
設問の例として、手引書では、下記の7つが挙げられています。参考にしてみてください。

Q.メール訓練に関する教育を受けましたか?
Q.メール訓練があることを知っていましたか?
Q.訓練メールに気が付きましたか?
Q.不審なメール(訓練メール)をどの時点で気付きましたか?
Q.メール訓練の事前予告は必要ですか?
Q.メール訓練は役に立ちましたか?
Q. メール訓練の継続を希望しますか?

これ以外に「訓練全体で気付いたこと」を自由に記入する欄を設けておくこともおすすめです。
なお、Selphishでは無料でアンケートも実施できます。また、上記のようなテンプレートを用意しており、手間なくアンケートが始められるように機能もぜひ活用してください。

■ステップ10.課題の明確化

最後に、訓練の結果から「自社の課題」を分析します。
自社の全体の開封率が10%以上になっていた場合は、次の項から説明する「セキュリティ教育」を実施するなどして、5%前後まで低下させることを目指しましょう。

また、特に開封率が高かった部署があった場合には、その原因を調査して、個別の対策を検討する必要があります。
さらに、社員に書いてもらったアンケートの結果を見ながら、社員への負担が少なくてかつ、効果的な訓練方法に改善していきましょう。

メール訓練のノウハウと
効果的な進め方教えます

これを読めば全てがわかる!メール訓練でお持ちのお悩みや疑問について開設しています。

資料には以下のことを紹介しています。

  • メール訓練サービスの選び方
  • メール訓練の選び方
  • サービスの必要性とその効果
  • メール訓練の効果的な実施フロー

ぜひお役立てください。

お役立ち資料をダウンロード

実施すべきこと2.セキュリティ教育

標的型攻撃メールによる被害を防ぐためには、メール訓練と併せて、セキュリティに関する社員教育を実施することも大事です。
ここでは、セキュリティ教育の目的や実施方法を詳しく見ていきます。

セキュリティ教育の目的

セキュリティ教育の目的は、以下の2つです。

  1. 標的型攻撃メールの手口や見分け方を知って、開封率を低下させる
  2. 標的型攻撃メールを開いてしまった後の対応を学んで、リスクを最小限に抑える

セキュリティ教育を実施するにあたっては、常にこの2点を念頭に置くようにしましょう。

セキュリティ教育で社員に伝えるべき内容

セキュリティ教育で社員に伝えるべき内容は、下記の4つです。

  1. 標的型攻撃メールの手口と脅威
  2. 標的型攻撃メールの見分け方
  3. 標的型攻撃メールを発見した際に取るべき行動
  4. 標的型攻撃メールを開いてしまった際の対応

以下では、それぞれの内容について、簡単に見ていきます。

1.標的型攻撃メールの手口と脅威

標的型攻撃メールとは、不特定多数ではなく、特定の組織や個人を狙って送られるメールのことです。
文面のなかのURLを開いたり、添付されたファイルを開いたりすることで、パソコンがマルウェアに感染します。

標的型攻撃メールについては、下記のページで詳しくお伝えしていますので、併せてご確認ください。

・標的型攻撃メールとは?
https://security-academy.jp/intro/apt/

2.標的型攻撃メールの見分け方

標的型攻撃メールの見分け方には、以下の4つの方法があります。

  1. 添付ファイルの種類を確認する
  2. 差出人のメールアドレスを確認する
  3. 本文の内容をチェックする
  4. 差出人に電話で確認する

詳細は、下記の記事をご参照ください。

・開いて大丈夫?標的型攻撃メールの見分け方と対応方法を徹底解説!
https://security-academy.jp/blog/security/post-631/

3.標的型攻撃メールを発見した際に取るべき行動

標的型攻撃メールを発見したら、迅速に社内で情報共有をすることで、被害を受ける可能性を減らせます。
まずは、標的型攻撃メールを発見した際の報告フローを作成し、セキュリティ教育で、全社員へそのフローを周知しましょう。

4.標的型攻撃メールを開いてしまった際の対応

標的型攻撃メールのURLをクリックしたり、添付ファイルを開いたりしてしまった場合には、すぐに下記の対応をしましょう。

  • パソコンからLANケーブルを抜く
  • 無線LANを「非接続」にする
  • 操作の履歴を記録する
  • 情報セキュリティ部門へ報告する

セキュリティ教育の開催方式

セキュリティ教育を実施する方法としては、以下の3つの手段があります。

  1. 研修会を開催する
  2. 説明動画を作成して社員に見てもらう
  3. 要点をまとめた文書を作成して共有する

研修会は対面で説明できるため、社員の理解度が上がりやすいというメリットがありますが、開催するためには労力がかかることが難点です。
一方で、「要点をまとめた文書を共有する」場合は、研修会の開催よりも労力は少ないですが、社員がじっくりと読んでくれない可能性があります。
どの開催方式を選択するのかは、「メール訓練の結果」や「セキュリティ教育を実施する部門のリソース」に応じて決めるようにしましょう。

セキュリティ教育の実施時期

セキュリティ教育の実施時期は、中級のメール訓練の前でも後でも構いません。
メール訓練の前に実施すると、セキュリティ教育がどれだけ浸透したかを確認することができます。訓練実施後の場合は、自分の対応が正しかったか、きちんと見分けることができたか、などを確認できます。

以上、セキュリティ教育の実施方法についてお伝えしました。

下記の記事では、セキュリティ教育に活用できるコンテンツを紹介していますので、こちらも実施する際の参考にしてみてください。

・社員の情報セキュリティ教育に活用できるコンテンツをご紹介
https://security-academy.jp/blog/security/post-646/

開封率が向上したらメール訓練をレベルアップしよう

本記事では、中級の標的型攻撃メール訓練で実施すべき「2回目のメール訓練」と「セキュリティ教育」の実施方法を紹介しました。
この2つを繰り返し実施しながら、開封率の低下を目指しましょう。

なお、メール訓練で、継続的に「開封率5%前後」を達成できるようになったら、「上級」のメール訓練にステップアップすべきタイミングです。

また、本記事でお伝えした「メール訓練」を実施するためのサービスには、さまざまな種類があります。

弊社では、メール訓練サービスの選び方に関する資料を無料で提供していますので、ご興味のある方は、下記からチェックしてみてください。

・メール訓練サービスの選び方
https://security-academy.jp/download/558/

メール訓練のノウハウと
効果的な進め方教えます

これを読めば全てがわかる!メール訓練でお持ちのお悩みや疑問について開設しています。

資料には以下のことを紹介しています。

  • メール訓練サービスの選び方
  • メール訓練の選び方
  • サービスの必要性とその効果
  • メール訓練の効果的な実施フロー

ぜひお役立てください。

お役立ち資料をダウンロード

カテゴリー: セキュリティ, ブログ

Selphishを使ってみる

無料でお試しはこちら

ページの先頭へ