標的型メール訓練で送信するメールの差出人名とアドレスは何にすべき？

標的型メール訓練を実施するに際して多い質問の一つが、訓練実施に際して送信する訓練メールの差出人名とメールアドレスは何にすべきだろうか？というものです。

特に多いのは「アドレスを詐称するにはどうすればいいでしょうか？」というもの。リアルな世界での詐欺行為においては偽名が使われるのが一般的なだけに、不審なメールにおいても、身元を特定されないよう、実在しないアドレスや差出人名を使うというのは、誰もが真っ先に思い浮かべることなのではないかと思います。

ちょっと待って！アドレス詐称って本当に必要？

もしあなたが、「アドレスを詐称するにはどうすればいいのだろうか？」と、今まさに思っているところなのであれば、一つ質問をさせていただきたいのですが、あなたは何故、アドレスを詐称する必要があると考えていらっしゃるのでしょうか？

ここでもしあなたが、

いやあ、標的型メールっていったら、アドレスは詐称するものなんでしょ。ネットを見ても、実在しないアドレスを騙ってメールを送り付ける。なんて書いてあるし。

といったような理由でアドレスを詐称する方法を探しておられるのだとしたら、考えていただきたいことがあります。

詐称されたアドレスを使う理由って何ですか？

明確な理由もないのにアドレスの詐称方法について考えるのは本末転倒

標的型メールで使われるアドレス（差出人名）は「詐称されたアドレス」を使うもの。ともし、あなたが思っているとしたら、それはスパムメールなどのイメージから来る単なる思い込みです。

標的型メールだから、詐称されたアドレスを使うのではありません。

ターゲットにURLをクリックさせたり、添付ファイルを開かせたりするため、メールの受信者に疑いの念を抱かせないという目的のために、たまたま「架空のアドレス」が使われるだけなのです。

ですから、訓練メールだから詐称したメールアドレスで訓練メールを送らないといけない。と思い、メールアドレスを詐称する方法について探しているとしたら、それは本末転倒であると言えます。

うっかり信じてしまいやすいのは、実はよく知っているアドレス

人の習性として、普段から見慣れているものには疑いの念を抱きにくい。ということがあります。

訓練メールにおいてもこれは同じで、全く知らない差出人から送られてくるメールより、会社のアドレスを使ったメールの方が、「ん？」と思われてしまうことが少なかったりします。

あなた自身、よく知っている人のアドレスからメールが送られてきていたら、タイトルと差出人名だけでは何の疑念も持たないのではないでしょうか？

これに、メールのタイトルとマッチした本文と添付ファイルがあれば、何の疑念も持たずに本文を読み進め、さらに、添付ファイルを開くことや、URLをクリックすることの妥当性が納得できるような本文の内容となっていたら、うっかり添付ファイルを開いたり、URLをクリックしたり、といったことに繋がります。

訓練メール送付の目的の一つは、添付ファイルを開かせたり、URLをクリックさせたりといったことにあるわけですから、そこにうまく繋げられるものであることが重要なポイントであり、アドレスを詐称するかどうかは、その目的達成のための方法の一つでしかありません。

ですから、訓練メールで使用する送信元のアドレスについては、

何故、そのアドレスを使うのか？

をしっかり考える必要があります。

アドレスありきで考えるのではなく、自社の従業員は、どのような人から送られてきたどのような内容のメールであれば、疑いもなく読み進めてくれるのか？を考え、最終的にどのようなアドレスを使うのかを考える。

この結果として、アドレスを詐称する。ということになることもありますが、初めて標的型メール訓練を実施するような組織であれば、アドレスを詐称などしなくても、訓練用に社内アドレスを一つ作って、そのアドレスで訓練メールを送るようにすれば十分だったりします。

自社のメールアドレスを使うという方法は、実は一番手軽でありながら、訓練においても狙った結果を得やすい方法でもあるのです。

自社のメールサーバから送るのでは訓練にならないでしょ。と思うことの間違い

標的型メール訓練は、「送信元」「本文の内容」「添付ファイルの内容」「訓練実施の方式」の組み合わせによって、無数と言えるほどの訓練パターンを作り出すことができます。

自社のアドレス以外のアドレスを使うのも一つの方法ですが、自社のメールアドレスを使うというのも一つの方法なので、一度は実施されることをお奨めしたいのですが、このような話をすると、自社のメールサーバからメールを送ると、メールヘッダを見れば社内から送られてきたものだとわかるので、訓練にならないのではないか？と仰る方がいます。

この発言の背景には、「社内から標的型メールが送られるわけがない」ということがあるのですが、決してそんなことはありません。

社内のパソコンがウィルスに感染していて、そのパソコンを踏み台に社内にメールが送信される。ということは考えられないシナリオではありません。このようなシナリオでは、社内から標的型メールが送られることになるわけです。

もし、あなたや、あなたの周りの方が、社内から送られているメールなら何の問題もない。と思っているとしたら、それはとても危険なことです。社内から送られるメールは安全という前提が知らないうちに崩されていたら、攻撃者は簡単にあなたの組織を攻略できてしまうことになります。

このような問題に対する防御策は、一つの前提が崩されても、幾つもの別の前提によって防御できる仕組みを作っておくことです。社内から送られてくるメールだからといって、必ずしも安心できるわけではない。ということを社員全員が意識するようにしておくことは、その一つです。

社内のアドレスは標的型メール訓練では使えない。と考えるのも単なる思い込みに過ぎないのです。

←前の記事へ（何故？セキュリティ対策をしっかりやっている組織が被害に遭うのか？）
→次の記事へ（本気でやっているからこそあえて言おう。間違った訓練をありがたがるな！）

サブコンテンツ

訓練実施コストの問題はキットがあれば解決できます！

標的型攻撃メールを実際に従業員に体験してもらう
「標的型メール訓練」は、組織全体のセキュリティ意識向上に
繋がります。標的型攻撃メール対応訓練実施キットは、
自前で実施するための方法・ツール・テンプレートによって、
外注に頼らず、自前で訓練を実施することを可能にします。

キット開発・販売元　縁マーケティング研究所

無料でキットをお試しいだける「キット評価版」をご提供しています

標的型攻撃メール対応訓練実施キットについて、自社でも使えるものなのかどうか、実際に使って確かめてみたい、また、キットが具体的にどのようなものなのか知りたい。というニーズにお応えするため、「キット評価版」を無料でご提供しています。

評価版を申し込んだからといって、しつこく売り込みをする。なんていうことはありません。是非、納得いくまでお使い頂き、ご不明な点などがあれば、どのような事でもお問い合わせ下さい。１社でも多くのお客様にキットを気に入って頂きたいからこそ、是非、納得いくまでキットをお試し下さい。

キットの評価版を入手したい方は、「キット評価版の詳細を見る」をクリックして、詳細ページにお進みください。

おかげさまで11年目　標的型メール訓練なら、標的型攻撃メール対応訓練実施キット! Since 2014

標的型メール訓練で送信するメールの差出人名とアドレスは何にすべき？