失敗しない「標的型攻撃メール訓練」とは？【第2回】準備編

標的型攻撃メール訓練（以下メール訓練）の肝を4回にわたって分かりやすくお伝えする本シリーズ、第2回はメール訓練を失敗させないために必要な「準備」について解説します。

準備すべき5つのポイント

メール訓練は、実際の攻撃メールに似せて作成した疑似攻撃メールを訓練対象者に送るだけのシンプルなトレーニングです。それだけに、訓練が成功するか失敗に終わるかはすべて事前の入念な準備にかかっています。準備不足のまま訓練を実施しても、訓練対象者の業務に大きな支障をきたすなど予期しないトラブルが発生することがあり、十分な効果が得られません。そこで、ラックがメール訓練サービスを提供する過程で実際に行っている訓練を円滑に進めるための準備のポイントをお伝えします。

メール訓練の担当者（以下訓練担当者）が事前に準備すべきポイントは5つあります。順に解説します。

1. 訓練実施時期と疑似攻撃メールの配信のタイミングの決定

訓練の実施時期や疑似攻撃メール配信時刻を検討しましょう。

実施時期

メール訓練は、対象者が最も多く参加できる時期に実施するのがオススメです。ひとりでも多くの人が疑似攻撃メールを見分け、事前に決めた報告先に報告するという手順を経験すると、より高い教育効果が得られます。そのため、休暇を取る人が多い休業日（ゴールデンウィーク、夏季休暇、年末年始など）は避けたほうがよいでしょう。

配信時刻

先ほども述べた通り、疑似攻撃メールはできるだけ多くの対象者の目に触れることが大事です。また、対象者からの連絡が訓練担当者やヘルプデスクに集中することになるため、業務時間帯に疑似攻撃メールを配信するのが望ましいでしょう。

下のグラフは、業務時間帯に疑似攻撃メールを配信し、メールを受け取った人が添付ファイルを開くまでの経過時間を示しています。ラックの過去の訓練実績では、開封者の約60%が配信直後から1時間以内に添付ファイルを開いています。そのため、教育効果を期待する場合は業務終了後の時間は避けましょう。疑似攻撃メールの配信時刻は訓練効果を左右する重要な要素といえるでしょう。

注意点

配信時刻を決める際は、メール訓練によるメールサーバやネットワークへの負荷も忘れずに考慮に入れましょう。メール訓練の性質上、回避できないこと（数千通の疑似攻撃メールを一斉配信する場合など）もありますが、疑似攻撃メールを分割して配信し、システムが高負荷となるタイミングを分散させるなど可能な手立てを検討しましょう。

2. メールを配信する対象者の決定

対象者を選定します。基本的には全員参加が望ましいメール訓練ですが、特に参加してほしいのは、新入社員や中途社員などの訓練未経験者です。初めて訓練を受けた人のメール開封率は、継続的に訓練に参加している人に比べて高いことが、ラックが過去に提供した訓練の実績からも明らかになっています。メール訓練を実施したことのある組織と実施したことがない組織とでも、開封率には大きな開きがあります

訓練を継続して実施している組織では、対象者をあえて一部の社員に絞るケースがあります。全社員を対象に継続的に実施していると、訓練慣れが生じ、職場内で訓練内容が共有されることがあります。その結果、疑似攻撃メールが無視されるなどして教育効果が見えにくく弊害が生じることがあります。標的型攻撃メールが本物だった場合は関係者が情報を共有することは好ましいのですが、訓練では参加する一人ひとりに警戒心を持ってもらうことが成功の鍵です。そのためには、対象者を絞って実施するのも一案でしょう。

3. メール内容の決定

疑似攻撃メールの内容を決めましょう。訓練で使う疑似攻撃メールの文面は、対象者の訓練経験の有無に合わせて使い分けます。例えば、未経験者には攻撃事例を認知してもらうための初級編、経験者には疑似攻撃メールの不審な点を見分ける能力を向上させる応用編などです。

初級編

実際の攻撃に使われた不審メールを、疑似攻撃メールの文面作成の参考にするとよいでしょう。実際に使われた不審メールは、自組織に届いたもののほか、一般財団法人日本サイバー犯罪対策センター（JC3）に届け出があったメール^*1が役に立ちます。

応用編

訓練の経験者には、初級編の他に、日頃業務でやり取りするメールや業務外で受信するメールを使って不審メールについての理解度をテストする方法があります。業務メールを使う場合は、所属する組織内でよく使われる特別な用語・言い回しなどを含むメールに、不審メールだと気づくべきポイント（不自然な日本語が使われている、署名が無いなど）を紛れ込ませて疑似攻撃メールを作成します。業務外のメールでは、外部セミナーや社内イベントなど社内外からの案内メールに、気づきのポイントを加えます。

注意点

疑似攻撃メール作成時はリアリティを追求するあまり、実在する会社・団体・組織の情報や人物名を含めてしまうことがよくあります。疑似攻撃メールを受け取った対象者がメールに記載された組織や人物に対して問い合わせをしてしまうと、第三者の業務を妨げる恐れもあります。疑似攻撃メールには、実在する会社・団体・組織・人物名など固有の存在をイメージさせる事柄を盛り込むことは避けましょう。

テスト配信

疑似攻撃メールが完成したらテスト配信をしましょう。テスト配信では次の2点を確認します。

1. 疑似攻撃メールが問題なく受信できたか確認しましょう

最近では、PCに加えスマートデバイスでもメールが閲覧できるようになり、メールソフトウェアはメールクライアントソフトウェアに加えWebブラウザも使われるようになっています。そのため、テスト配信後は各デバイスやメールソフトウェアで疑似攻撃メールが受信フォルダに届いているか、迷惑メールフォルダに振り分けられていないか、確認しましょう。

2. メール開封者の集計機能が正しく働くかを確認しましょう

疑似攻撃メールに設定した開封者の集計機能（webビーコンなど）を確認します。これは、組織のネットワーク要件で外部通信が不可となっていて開封したことを知らせる通信が届かない場合や、セキュリティ製品（クラウドのセキュリティサービスなど）が検知し開封したことを知らせる通信が誤って配信されてしまう場合があるためです。テスト配信後は、開封者が正しく集計できているかと、開封者のIPアドレスが訓練担当者の組織のものであるかを確認しましょう。

4. 不審メール受信時の初動対応手順の整備

初動対応手順とは、不審メールを受信した際にどのように行動するかを定めた文書です。 初動対応手順には、不審メールを受信した対象者向けと、対象者からの問い合わせ対応に当たる訓練担当者向けの2つがあります。どちらも平時から準備しておき、メール訓練で実際に使って有効性を確認するようにしましょう。

対象者が使用する対応手順

対象者が使用する対応手順は、不審メールを受信したり開封したりした場合の連絡先や連絡方法をまとめたもので、常に社員が簡単に閲覧できる場所に保管します。対応手順の例を紹介します。

対応手順の例

• 不審なメールを受信した場合は、差出人や件名、本文、署名などの特徴をもとに、単なるスパムメールか、実在の組織などをかたった標的型攻撃メールかどうかを判断する。少しでも不審に感じたときや、判断できない場合は上長やヘルプデスクなど関係者に報告を上げる。
• 標的型攻撃メールだと判断した場合は、添付ファイルを開いたり、URLリンクをクリックしたりせずに、迅速に担当部門へ報告する。なお、標的型攻撃メールや添付ファイルを開封したり、URLリンクをクリックした場合は該当PCをネットワークから切断する。

訓練担当者が使用する対応手順

訓練担当者が使用する対応手順は、どんな不審メールを受信したか、問い合わせをしてきた社員からヒアリングする方法を示したものです。ヒアリング項目の例を紹介します。

ヒアリング項目の例

• 不審メールの受信日時、メールの内容（件名・差出人・差出人のメールアドレス・添付ファイルなど）
• 添付ファイルの開封やメール本文中のURLリンクのクリックの有無
• 添付ファイルの開封やURLリンクをクリックした日時

メール訓練中に疑似攻撃メールだけでなく、本物の標的型攻撃メールを受信する可能性もあるため、訓練担当者はヒアリングした内容が疑似攻撃メールなのかどうかを、判断できるポイントを疑似攻撃メールに盛り込んでおくと良いでしょう。

問い合わせ内容の中には、疑似攻撃メールの添付ファイルをアンチウイルス製品などがウイルスとして検知したとの報告もあるようです。問い合わせをしてきた社員は、ウイルスに感染したかもしれないと焦っている可能性がありますので、訓練担当者は落ち着いて確認すべき事を一つ一つヒアリングしましょう。なお、過去のメール訓練では、疑似攻撃メールの添付ファイル名に二重拡張子（例：ファイル名.txt.exe）が含まれていたためウイルスとして検知した事例がありました。

5. 訓練結果の評価項目の決定

評価項目を決める目的は、メール訓練によって分かった課題を整理し、今後取り組むべき改善内容を提言するためです。評価項目の例を以下に紹介します。なお、全ての評価項目を網羅する必要はありません。報告目的に合わせて選びましょう。

例）疑似攻撃メール開封者における弱点の有無を確認したい場合

• 疑似攻撃メールの開封率、開封スピード
• 疑似攻撃メール開封者にみられる傾向の有無（部門／職種／職位、訓練経験有無別、不審メール受信時の初動対応手順の未読／既読など）

例）疑似攻撃メール受信者が適切に初動対応したかを確認したい場合

• 疑似攻撃メール受信時の対応
• 担当部門への報告率や報告スピード
• 疑似攻撃メールの開封（非開封）の理由
• 報告率にみられる傾向の有無（初動対応手順の利用度／訓練参加回数／職種など）

例）その他　今後の標的型攻撃メール訓練への考慮点として

• 訓練結果を踏まえた次回の訓練の疑似攻撃メール案
• 訓練実施中の業務影響などの改善事項の有無
• 初動対応手順について改善事項の有無
• 次回訓練に向けた意見の収集

評価項目によっては、訓練中の状況など訓練が終了してしまうと収集が難しくなる情報もあります。こうした事態を避けるため、評価する項目はあらかじめ決めておき、訓練中に記録を付けるようにすることが重要です。

おわりに

メール訓練のベストな方法は、各組織の事情やシステム環境などによって異なります。ラックでは効果が得られるよう準備段階からのお手伝いも承っております。

次回はいよいよメール訓練の実施についてご説明します。標的型攻撃メール訓練中に考慮すべきポイントについてご紹介します。

失敗しない「標的型攻撃メール訓練」とは？（全4回）

• 【第1回】訓練やっても意味がない！？～標的型攻撃メール訓練を実施する目的～
• 【第2回】失敗しない「標的型攻撃メール訓練」とは？～準備編～
• 【第3回】標的型攻撃メール訓練中の混乱を防げ！～訓練編～
• 【第4回】やりっぱなしにしない「標的型攻撃メール訓練」～改善編～

---

• *1インターネットバンキングマルウェアに感染させるウイルス付メールに注意：一般財団法人日本サイバー犯罪対策センター（JC3）