IPA(独立行政法人 情報処理推進機構)が毎年公表している「情報セキュリティ10大脅威(組織編)」の中で、「標的型攻撃による機密情報の窃取」があります。この脅威は、2020年以降、TOP3に常にランクインしています。本記事では標的型攻撃の中でも特に攻撃数が多い、標的型攻撃メールにフォーカスして解説していきます。
標的型攻撃メールとは、メールを用いて特定の組織や人の情報を窃取する攻撃手法です。まず、標的型攻撃メールに対するセキュリティ対策を、大きく3つに分類します。
|
分類 |
対策例 |
|
技術的対策 |
|
|
組織的対策 |
・受信、開封時のルール整備 |
|
人的対策 |
・従業員への情報セキュリティeラーニング |
技術的対策による防御や、組織的対策による有事を想定した事前準備が重要であることはもちろんですが、Verizonの2022年版「Data Breach Investigation Report」(データ漏えい/侵害調査報告書)によると、2021年のデータ漏えい/侵害の82%には人的ミスが絡んでいるとも言われており、人的対策も重要です。
以降では、人的対策のうち「標的型攻撃メール訓練」について、主にメール訓練を実施している企業のセキュリティご担当者向けに実施のポイントを記載します。
「標的型攻撃メール訓練の目的」及び「習熟度向上のステップ」
標的型攻撃メール訓練の目的
標的型攻撃メール訓練とは、従業員に対して攻撃メールを装った訓練メールを送付し、それに対する従業員の行動を計測するものです。標的型攻撃メール訓練の目的は、主に2つあります。
従業員の「不審なメールに気づく力」を養う
従業員に対して、訓練による疑似的な攻撃メールの送信を繰り返し、不審なメールを見分ける能力を向上させます。訓練メールを通常のメールと誤認し、本文内リンクのクリックや添付ファイルを開封した従業員の行動を評価します。
従業員の「不審なメールを報告する力」を養う
訓練メールを不審に思ったり、通常のメールと誤認して本文内リンクのクリックや添付ファイルの開封をしたときに、従業員が慌てず速やかに報告や初動対応等が行えるよう訓練します。
習熟度向上のステップ
標的型攻撃メールに対する組織全体の習熟度を上げていくために、一般的には以下のようなステップで訓練を実施することが多いです。
図1:不審なメールに対する習熟度向上のステップ
- 開封率の低下
- 報告率の向上
- 低開封率 及び 高報告率の維持
最近ではステップ1からステップ2に移行してきている企業が増加傾向にあります。以降では、習熟度向上に関するステップ1、ステップ2に着目して、それぞれのステップにおける概要と対応のポイントを解説します。
ステップ1「開封率の低下」における対応のポイント
本ステップでは、従業員の攻撃メールに対する耐性を測定するために、定量的に評価可能な「開封率」を用いて訓練の目標を設定します。
開封率とは、訓練対象者全体における「メール本文内のリンクをクリック、または添付ファイルを開封した対象者」の割合を集計した指標です。組織によっては、「アクセス率」や「ヒット率」という言葉を利用されていることもあります。
メール本文の高度化
まずは、世の中で出回っている様々な攻撃メールのパターン(例:Emotetを模したメール等)を参考に、テキスト形式メールを用いて訓練を実施し「開封率の低下」を目指します。
低い開封率が継続したことを確認後、組織固有の用語をメールの本文に含めたり、より視覚に働きかけるような構成にする(例: テキスト形式からHTML形式に変更する)ことで、本文を高度化します。なお、本文に関連する実在の組織に従業員から問い合わせが入る可能性もあるため、事前に関係各所と調整することをお勧めしています。
図2:メール本文の高度化のイメージ
配信設定の工夫
以下のような対策を組み合わせることにより、従業員に対して訓練であることが気づかれないようにします。
- 複数のメール本文を利用する
- 訓練対象者を複数グループに分けて、配信時間を分割する
訓練実施にあたり、外部のメール訓練サービスを利用する場合は、柔軟なメール配信設定が可能か否かを事前に確認することも重要です。
図3:訓練メールであることを分かりづらくする工夫
無理な目標を立てずに、訓練や教育の継続を
筆者がコンサルタントとして、これまで立ち会ってきた現場では、訓練初期の頃は開封率が20%以上などと高くなる傾向にあっても、訓練や教育・啓発活動を継続して実施することで、結果的に5%前後の開封率まで抑えられるケースがほとんどでした。
なお、最終的に開封率0%を目標に設定してしまうケースがあります。しかし、攻撃メールは常に多様化・巧妙化しており、それを踏まえた訓練を実践するため、開封率0%を目指すことは現実的ではありません。変化する脅威に対する従業員のセキュリティ意識の向上に訓練結果を活用することが重要であり、あくまで低開封率の維持を目標とすることをお勧めします。
開封率の低下・維持の傾向が確認できたら、ステップ2への移行を検討しましょう。
ステップ2「報告率の向上」における対応のポイント
本ステップでは、従業員が不審なメールを受信した際の行動を可視化するために、定量的に評価可能な「報告率」を用いて訓練の目標を設定します。
報告率とは、従業員が攻撃メールに気づいたり、メール本文内のリンクをクリック、または添付ファイルを開封してしまった際に、組織の定めた正しい行動および報告ができたかを測定する指標です。組織によっては、「通報率」や「対応率」という言い方をしていることもあります。
ルール整備と周知
攻撃メールに気づいたり、メール本文内のリンクや添付ファイルを開いた場合の行動をルール化、文書化します。ルールは整備するだけでなく、社内掲示板への掲載や教育により従業員に周知し、実践させる必要があります。報告者が、迷ってしまうような報告手順・ルートにならないようにシンプルに記載することが重要です。
図4:報告率を向上させるためのポイント
また、高報告率を維持している部署・従業員等に称賛・謝意を示す等、報告をすることへのモチベーションを高める施策も有効です。
報告率の集計方法
訓練の規模によっては、報告の受付を分散したり、訓練メールの配信タイミングを分けたりして、報告の集中を防ぎます。Webフォームやメールによる報告をルールとしている場合、半自動的に報告率を集計しやすくできますが、専用のシステムや運用を構築する必要があります。
一部の標的型攻撃メール訓練のSaaSや製品には、従業員が気軽に不審メールを報告できるメールクライアントアドインの機能もあり、一度仕組みを導入すれば、効率よく報告を受け付けることも可能です。
図5:不審メールを報告するメールクライアント機能のイメージ
おわりに
本記事では、標的型攻撃メールへの対応の習熟度を上げていくために必要となる訓練のポイントを解説しました。訓練終了後に、訓練対象者へのアンケートやヒアリングを通して、定量評価の裏にある原因の深掘りをすることも効果的です。
また、経営者へ訓練結果の報告をする際に、開封率のみに注目されてしまうことが多々ありますが、昨今は攻撃メール本文も多様化・巧妙化しているため、従業員の誰かが開封してしまった際の被害極小化に向けた報告や初動対応の必要性についても十分に説明してご理解いただくことも重要です。
本内容が、今後の皆様のメール訓練計画における参考となれば幸いです。
