標的型攻撃メール対策のため訓練を実施しても、委託業者からメール開封率が報告されるだけで、実際にどれほどの対策効果があったのか分かりにくい。
そう感じている情報セキュリティ担当者さんも多いと思います。
この記事では、私が行った、標的型攻撃メール対策訓練の効果をすぐに体感出来る、ちょっと乱暴な荒業をご紹介します。
標的型攻撃メール訓練に慣れてきたユーザー
私の組織では6年前から標的型攻撃メール対策のために訓練を実施しています。
6年前といえば日本年金機構が標的型攻撃メールで個人情報を漏洩させる事故を起こすよりも前です。
まだ日本でサイバー攻撃の被害がマスコミで大きく取り上げられることもなかった頃ですが、初めて標的型攻撃メール訓練を実施した時には、訓練メールを受信したユーザーや所属の責任者から大変多くの問い合わせが殺到し、標的型攻撃メール訓練に対するクレームも多かったのですが、それはそれで良い反応だと私は実感していました。
が、最近は標的型攻撃メール訓練の模擬メールを送信しても、「怪しいメールが届いた」「添付ファイルを開いてしまった」という問い合わせも数件ある程度、なかには「また訓練だよね」とシレっと対応されることもあるほどで、私自身、今後も標的型攻撃メール訓練を実施すべきか疑問に感じ始めていました。
訓練実施前の告知と事後アナウンスが無反応の原因
私の組織では、標的型攻撃の訓練メール送信前に、全ユーザーに対して、標的型攻撃メールに対する注意喚起メールを送信し、さらに標的型攻撃メール訓練の実施を事前に各部署の責任者に告知しています。
これは、責任者には、標的型メールに添付されたファイルをクリックしたり、標的型メールの本文から誘導されたWebサイトにアクセスしたりした部下がいた場合に、情報管理部門へ所定の報告を行う訓練も合わせて実施しているためです。
そのため、責任者以外のユーザーにも少なからず標的型攻撃メール訓練が実施されることはバレています。
そして、標的型訓練メール実施後には、情報管理部門から訓練を実施した旨を告げるメールを全ユーザーに発送していました。
抜き打ちで標的型攻撃メール対策訓練を実施しても無意味
経営層からは、常々、完全に抜き打ちで標的型メール訓練を実施せよ、という意見が届くのですが、抜き打ちで標的型メールの訓練を実施しても、本当にひっかかってしまうユーザーが何人いるのか、を知ることは出来ますが、私にとってはそんな数字に興味はありません。
どんなに対策しても訓練を続けても、いざ本気で狙われたら、絶対に誰か一人は必ずひっかかってしまうのが今の標的型メール攻撃です。
訓練結果が良かろうが悪かろうが、数字の精査のための仕事は無意味なのです。
なので、実際に標的型攻撃メール訓練で何人ひっかかるか、だけの仕事をするのではなく、訓練を実施することで、事前教育、実際の攻撃例、事後対応を学んで、実際に標的型攻撃メールを受信した場合に適切な対応が出来るようになって欲しいので、今までの事前告知はやめるつもりはない、と、抜き打ち訓練には反対してきました。
しかしこの私の考えが、標的型攻撃メール訓練を実施しても訓練効果を感じにくく、訓練アンケート結果やメール開封率しか得られない原因なのはたしかです。
とはいえ、効果をすぐに体感出来ないだけで、この方法で長く訓練を続けてきた成果は十分にあります。
標的型攻撃メール訓練を事前告知しても訓練効果を体感出来る方法
今までの訓練に対して上記のようなことを考えてきた私は、最近実施した標的型攻撃メール訓練で新たな試みを取り入れてみました。
アンケート依頼付きの事後アナウンスメールを委託業者から送信させる
標的型攻撃メール訓練に使う訓練用模擬メールは委託先の業者から、メアド、差出人を偽装するなりして送信させます。
しかし、訓練に慣れてきているユーザーは、添付されているファイルを開くことも、本文で誘導しているWebサイトにアクセスすることもありません。
もちろん訓練メールの内容があまりにリアルなひっかけ方は出来ないために、ほとんどのユーザーには無関係だと思われるような件名のメールを送っているので、情報セキュリティ教育のおかげか、興味を示すこともなく、騒ぐこともなく、さっさと削除してくれます。
しかし問題は、その後に委託業者から送られた、私の部署の名前をかたった不審な事後アナウンスメールでした。
今までの標的型攻撃メール訓練では、事後の訓練実施アナウンスメールは私が全ユーザーに送信していましたが、今回は、事後アナウンスとアンケート回答依頼、アンケート回答用webサイトの作成、アンケート集計を委託業者にすべて任せたのです。
私の部署の名前をかたった不審な事後アナウンスメールに大反響
委託業者に送信させたアナウンスメールの本文冒頭には、「このメールは標的型攻撃メール訓練対象者の方全員に、(私の部署名)が業務委託者に送信を依頼してお送りしております。」と明確に記述して、私の内線番号も書いています。
しかし次のような問い合わせ電話が大量にかかってきました。
・見知らぬ差出人から届いたこのメールは標的型攻撃メールではないのか
・アンケートに答えろと案内している外部Webサイトにアクセスしても大丈夫か
・内容を判断した結果、Webサイトにアクセスせず、不審なメールとして削除するよう命じた
分かっていて、文句を言いたいから電話した、という雰囲気もプンプンしていますね。
私の上司は「こんなことになるなんて」「うちの代わりに委託業者にメール送信させたのは失敗だった」と焦りまくっていました。
が、私は今まで組織のメールユーザーに対して、不審なメールが届いた場合の対応として
- 業務に無関係と判断したら削除
- 差出人が実在することをWebなどで調べ、そこから電話で送信確認
- 自分の部署の責任者に報告
という教育を続けてきたので、その通りの対応をしてくれたことを大いに喜びました。
先に書きましたが「あいつら、ややこしいことしやがって」という嫌味を込めた反応も多かったと思います。
日頃から面倒なことばかり言ってくる私への鬱憤もあるのでしょう。
でもそんなの関係なく、各部署のユーザーや責任者は、間違いなく、「このメールは一体なんだ?」「アンケートなんて回答していいのか?」というディスカッションを行い、そして差出元の私に「確認」あるいは「削除」したのです。
イラっとして電話をかけてきてもオッケーなのです。
人は気持ちが高ぶった出来事は忘れにくいはずですし、次に本当に標的型攻撃メールが届いたときには、何も考えずひっかかることもないでしょう。
部署内で、不審なメールについて、訓練メール受信時よりも活発に意見交換もしてくれたでしょう。
結果としてアンケートに答えないユーザーがいたのは事実ですが、そうすることが適切なリスクコントロールだと判断した結果なので、それもオッケーです。
「答えなくてもいいなら送ってくるな」と怒る責任者もいましたが、日頃からリスクコントロールを任せている責任者の判断は大切です。
私はアンケートに回答してもらいたくてメールを送りましたが、そのメールを部署の責任者が危険と判断したことは間違いではないのです。
このように、私の部署の名前をかたった不審な事後アナウンスメール(として扱われた)によって、図らずも実際の業務を通じた情報セキュリティ教育が出来て、私も標的型攻撃メール訓練の効果を体感することが出来ました。
久しぶりに手ごたえを感じる仕事が出来たのです。
ちょっと乱暴ですが効果を体感したいなら是非おすすめします
ご覧いただいたように、ちょっと風速は感じますが、「このメールは標的型攻撃メール訓練対象者の方全員に、(私の部署名)が業務委託者に送信を依頼してお送りしております。」と明確に記述して、内線番号も書いているので実施者側に落ち度はありません。
私が本当に委託業者に依頼して送信しているメールに違いないですし、不審なメールなら確認することと教育し、実際に私に確認してきて、私が送信の事実を認めたので安心してアンケートに答えればよいだけです。
だから私は、「ややこしいことをして申し訳ございません」とは一度も言いませんでした。
「はい。送らせました。大丈夫です」「これからも怪しいメールなら送信元に確認してください」「正しい対応をして下さりありがとうございます」とだけ答えていました。
「やっぱりこれくらいはしないと高いお金を使う値打ちないですね♪」と、青ざめて焦っている上司には言っておきました。
今後に皆様の企業や組織で標的型攻撃メール対策のために訓練を実施するなら、是非、委託業者に事後のアナウンスとアンケート回答依頼を送信させてみましょう。
その時の反応こそが、あなたの企業や組織のサイバー攻撃に対する耐性だと思います。