メールのタイトルや本文を見て気づかせようとする訓練は間違い
日経ITProに「人騒がせな標的型攻撃訓練」として、ある組織で実施した標的型メール訓練で使われた訓練メールが本物の標的型メールと間違われてしまい、ちょっとした騒動を引き起こしてしまった。といった顛末に関する記事が掲載されていました。
標的型メール訓練では、模擬とはいえ、見かけ上は本物の標的型メールと変わらないものが使われます。
このため、Twitterなどに代表されるソーシャルメディアが発達し、誰でも容易に世界中に対して情報発信ができてしまう今の時代にあっては、こうした訓練メールが独り歩きしてしまう可能性を考慮する必要があり、実在する組織の名前やメールアドレスを訓練で使用するのであれば、関係者にあらかじめ同意を得ておくなど、慎重に準備を行う必要があります。
こうした事柄は、訓練を実施する上で担当者が身に着けておくべき必須知識と言えますが、実は、それ以上に知っておいて頂きたいことがあります。それは、
メールのタイトルや本文を見て、不審なメールでないかどうかを確かめさせる。
というのは、標的型メール訓練のやり方としては間違っている。ということです。
メールのタイトルや本文などに、見慣れない漢字や、おかしな言い回しなどがあれば、怪しいメールであると考える。というのは、今では誰もが当たり前のことのように思っている事柄ですが、危険なメールに見慣れない漢字や、おかしな言い回しが使われているというのは、たまたま、そうだった。ということに過ぎません。
見慣れない漢字や、怪しい日本語が使われているメールが不審なメール、
そうでないメールは安全なメール ではない。ということです。
危険なメールかどうかを判断するために真っ先に見るべきところは、メールの本文やタイトルではありません。そんなところよりももっと真っ先に見るべきところがあります。
にもかかわらず、メールの本文やタイトルを見て、怪しいメールだと気づかせるような訓練のやり方は、本当に見るべき場所を見る癖を身につけないままにしてしまう可能性が十分あり、こうした訓練が繰り返されてしまうと、
「メールの本文を見ても怪しいところが無く、不審なメールだとは全く気付けなかった。」
などという、間の抜けた言い訳をしてしまう結果を招きかねません。
このサイトでは以前から何度も繰り返し言っていることなのですが、標的型メールは見分けることが難しいものでは決してありません。
見るべきところをしっかり見れば、見分けることは難しい事でもなんでもないのです。
実際、何人ものセキュリティの専門家が、次々と標的型メールにだまされて被害に遭っている。なんていう話は、これまで聞いたことありませんよね?
セキュリティの専門家は標的型メールに易々とだまされたりはしません。何故なら、見るべきところをしっかりと見る癖が身についているからです。
セキュリティの専門家だからと言って、メールボックスに届く全てのメールについて、1通1通、高度な解析を行って、標的型メールかどうかを逐一調べているのか?というと、決してそんなことはありません。
個々のメールについて、標的型メールかどうかをいちいち調べていたら仕事にならない。そんなことを従業員に強いるなんて無謀だ。といった主旨のことを言われる方もいるようですが、それは間違っています。
危険なメールかどうかを判断するのに、いちいち時間をかけてメールを解析する必要などなく、見るべきところをしっかり見る習慣さえ身についていれば、届いたメールが自分にとって必要なメールかそうでないのかを一瞬で判断できるのと同様、危険なメールかどうかは一瞬で見分けることができるようになるのです。
標的型メール訓練は、従業員がそうした正しい習慣を身に着けることができるようサポートするものであるべきです。
メールのタイトルや本文を見て、不審なメールであると気づかせようとするような訓練をこれまでしていた、もしくは、そのような訓練をしようと考えていた。という方、また、業者からそのような内容の訓練実施提案を受けている。という方は、この機会に、訓練の内容について再検討されることを強くお勧めします。
→次の記事へ( セキュリティ対策としてあたり前のこと、できてますか?「WannaCry/Wcry」騒動が改めて教えてくれたこと )