EN

NRIセキュア ブログ

不審なメールを「つい開いちゃう人」の心理

目次

     2019.05.23

    企業のセキュリティを脅かす要因のひとつとして、考慮すべきなのが「ヒューマンファクタ」です。これへの対策を強化すべく、多くの組織において「メール訓練」が実施されています。

     

    弊社は、「不審メール対応訓練サービス」の提供を通じて、多くの企業におけるヒューマンファクタ対策への取り組みをご支援してまいりました。これらの取り組みでは、メール訓練のご担当者が、内容からアフターフォローまでを試行錯誤しながら継続的に実施されています。

     

    年々、結果は改善する傾向にあるものの、その一方で、不審なメールが届いた場合に、「つい開いちゃう人」や適切な対応を「やらない人」が、一定数存在することが明らかになっています。

     

    本記事では、メール訓練対象者に向けて実施した意識調査結果をもとに、不審なメールを「つい開いちゃう人」や、適切な対応を「やらない人」の心理を分析し、今後のメール訓練における施策や可能性について解説します。

     

     

    はじめに

    新元号発表に日本列島が沸いた今春。その裏側で、新元号の発表に便乗した不審メールが出回っていたことをご存知でしょうか?

     

    新元号「令和」が発表された41日、携帯電話会社からの連絡を装って、新たな料金プランや、キャンペーンの案内メールが届く事例が相次いでいたことから、大手携帯電話会社の各社が注意を呼びかけました。

     

    これらのメールは、不特定多数のコンシューマーを狙った迷惑メールであったものの、もしこれが新元号対応に追われる企業に、「それらしい内容のメール」として届いていたら、ということを想像すると…。世の中の関心をしっかりと捉えた不審メールが、こんなにもさらりとタイムリーに出回るご時世、改めて身の引き締まる思いがしました。

    メールによる攻撃者の狙いは、人の感情

    メールを経路とした攻撃によって、組織が情報漏洩や金銭的被害に遭ってしまう理由は、攻撃に用いられるメールの多くが人の感情に訴えかける内容であるからです。

     

    先に述べた新元号に乗じた攻撃メールもしかり、最近は自然災害に乗じたメール等、好奇心や焦燥感、恐れや不安、名誉や金銭的報酬といった、感情に訴える内容を不特定多数にばらまく攻撃が多く見受けられます。

     

    図1. 地震直後に確認された気象庁を騙る攻撃メールイメージ

    1

    出所:気象庁

     

    図1のメールは、実際に大量に送信されている攻撃メールのイメージです。これらの攻撃事例をもとに訓練を実施する組織は多く存在しますが、特定の組織を標的としたメールではないため、対象者にとっては比較的不審メールであることを見抜きやすいものです。したがって、このようなメールで訓練を実施すると、意識調査結果からは(特に成熟した組織においては)「こんな訓練メールでは意味がない」といった意見を寄せてくる対象者が増えます。

     

    しかしその一方で「こんな訓練メール」に引っかかってしまう従業員が組織内にいることも事実です。

    NRIセキュアの統計によると、訓練メールに仕込んだ添付ファイルの実行やURLへのアクセス率は全体としては低下傾向にありますが、経験者と未経験者とで差が出ていることが確認できます。

     

    図2. メール訓練における添付ファイル実行・URLへのアクセス率

    2 出典:NRIセキュアテクノロジーズ株式会社「サイバーセキュリティ傾向分析レポート2018

     

    この結果から、未経験者に訓練を実施する必要性は明白ですが、もちろん経験者にも継続的に訓練を実施する必要もあります。なぜなら、メール訓練を継続することで、セキュリティへの意識を維持することができるからです。

     

    未経験者をフォローしつつ、経験者の関心を引き付ける訓練を企画するのは簡単ではありませんが、訓練対象者が訓練中にどのような心理状態であるかを紐解くことによって、組織内で力を入れるべきポイントが見えてくることもあります。

    「やらない人」へのフォロー

    メール訓練を実施すると、訓練メールに対する適切な対応について「知らない人」「できない人」「やらない人」が存在することが明らかになります。

     

    「知らない人」には研修、「できない人」には訓練で攻撃メールを開かないようにフォローすればよいでしょう。ここでは、メール訓練後に実施した意識調査結果から見えてきた「やらない人」についてスコープをあて、いかにフォローしていくべきかを考えてみます。

    訓練メールに不審さを感じながらも、クリックしてしまう人々

     弊社の意識調査における回答者は、訓練メールの添付ファイルやURLをクリックした人とクリックしなかった人に二分されました。訓練メールの添付ファイルやURLをクリックしなかった人の多くは、送られたメールが「不審である」と認識しています。

     

    一方、添付ファイルやURLをクリックした人の中は、不審さを感じることなくクリックしてしまった人たちが最も多くの割合を占めますが、それに次いで「不審さを感じながらも、つい」クリックしてしまった対象者が存在することが分かります。

     

    図3. メール訓練対象者向けアンケート

    「訓練メールの添付ファイルを開封、またはURLリンクをクリックした理由」

    reasons of clicking suspicious attachment files and URLs図3-2

     

     

    「直感的には不審だと思った人」が、なぜ不審な添付ファイルやURLをクリックしてしまうのでしょうか。意識調査における自由回答欄等の内容から、概ね以下の3つの理由に分類できました。

     

    • 中を見てみたいという好奇心や衝動に駆られた
    • とりあえず見て判断しようと思った
    • 業務を優先させたいという気持ちが勝った

     

    こういった従業員をフォローするための活動は、組織の耐性を向上させるために有効です。では、不審だと思いながらも、クリックしてしまう行動を抑止するためにはどうしたらよいのでしょうか。

     

    ひとつの方法としては、従業員にとって身近に感じる被害の事例を共有し、自分の安易な気持ちが組織にとってどのようなリスクになるのかを理解してもらい、行動に責任感をもってもらうことが挙げられます。また、訓練中に適切な対応ができなかったことを責めるのではなく、訓練中に「不審なメールなのかも」という感情が少しでも芽生えたことに自信をもってもらうことも有効でしょう。

     

    そんな中で、繰り返し同様の体験を得る機会を作ることにより、判断するための引き出しが増え、自身の考えにも自信がつき、安易に添付ファイルやURLリンクをクリックしない、という行動ができるようになることが期待できます。

    不審なメールを受信したら報告すべきだと思うけれど、訓練中は報告しない人々

    以下のグラフは、不審メール受信時に取るべき行動と訓練時に取った行動に関する質問に対する回答です。

     

    図4. メール訓練対象者向けアンケート「メール訓練中に実際に取った対応」

    4

     

    図5. メール訓練対象者向けアンケート「今後、不審なメールを受信した場合に取る対応」

    reaction on receiving suspicious email after drill

     

     

    不審メール受信時に取るべき行動として、「メールは完全に削除する」とほぼ同率で「社内ヘルプデスクに連絡する」に回答が多く寄せられているのに対し、実際の訓練では、「問合わせていない」に多く回答が集まっています。

     

    このデータから読み取れるのは、報告が必要であると考える従業員は多いものの、実際に報告まで訓練で対応することが徹底できていないということです。

     

    自由記述欄において、本来はこうあるべきだとわかっていながら訓練では行えない理由として、以下のような回答が確認できました。

     

    • 訓練なので、必要ないと思った
    • 忙しかった
    • 報告方法がわからなかった

     

    訓練実施時に、訓練担当者や不審メールの対応窓口への負荷を考慮して、対象者から対応窓口への報告フローの確認や、その報告をトリガーにしたSOCとの連携確認を積極的に実施している組織は少ないのが現状です。

     

    理由としては、報告されたとしても対応体制が整備できないということが挙げられます。とはいえ上記の結果から、報告の方法を簡素化して報告の手間を極力下げておくということは、「やらない人」が「できる人」になるための効果的な方法であると言えます。

    まとめ

    近年、"SOAR""playbook"といった言葉を読者の皆様はどこかで耳にされるのではないでしょうか。これらは、SOC(Security Operation Center)のオペレーションを自動化することを目的とした仕組みとして、攻撃の検知率や対応効率を高めることが期待されています。

     

    しかしこういった仕組みをすり抜け、人の感情を狙った攻撃が繰り返されている限り、ヒューマンファクタを考慮する必要がなくなるわけではありません。したがって、日頃から「やらない人」を「できる人」に変化させておくこと、つまり継続的な訓練を通して、不審なメールを不審であると報告できるようにしておくことは、今後も重要な対策の一つであると言えるでしょう。

     

    セキュリティ人材不足が深刻な問題となっている今、継続的なメール訓練を通じて、報告をはじめとした不審メール受信時の一連の対応を理解してもらい、向上することができた「従業員のセキュリティ意識」は、企業にとっての貴重なセキュリティリソースになるのではないでしょうか。

     

    NRIセキュアでは、メール訓練だけでなく、報告の方法を簡素化するためのメールクライアント用アドインや、大量の報告メールを迅速に解析し、優先度(危険度)の高いメールへの対処を速やかに行うことを支援するソリューションを提供しています。もしご興味をお持ちいだけましたら、お気軽に弊社までご相談ください。

     

    ■メール訓練内製化・不審メール初動対応支援ソリューション「Cofense

    https://www.nri-secure.co.jp/service/solution/cofense