標的型メールは見抜くことが難しい。は誤りです

標的型メール訓練において、訓練メールを読んだのかどうかを確認する方法はあるか?

標的型メール訓練の実施に際し、お寄せ頂くことの多い質問に、

訓練メールを見て怪しいと判断し、添付されているファイルを開かなかったケースと、そもそも訓練メールを読んでいないケースについて、一体どちらであるのかを判別することはできないか?

というものがあります。

特に「Word文書ファイル添付型」の標的型メール訓練では、Wordの「保護ビュー」の機能により、ファイルを開いた人が「編集を有効にする」のボタンを押さない限りはネットへのアクセスが発生しないため、訓練メールの受信者がWord文書を開いたのかどうかを把握することができません。

このため、訓練実施担当者からすると、以下1~3についても把握したいというニーズが発生します。

1.訓練メールを読んでいない。
2.訓練メールを読んで怪しいと判断し、添付ファイルを開かなかった。
3.添付ファイル(Word文書ファイル)を開いたが、編集を有効にしなかった。
4.添付ファイル(Word文書ファイル)を開き、編集を有効にした。

※Word文書ファイル添付型の訓練では、上記1~4のうち、4を実行した人の情報だけが「開封者情報」として把握できます。

「メールを読んだ」ということは把握できるのか?

標的型メール訓練を実施することで、模擬のマルウェアファイルを開いてしまった人については、その情報を把握することができますが、模擬のマルウェアファイルを開かなかった人については、その情報を把握することができません。

模擬とは言え、マルウェアファイルを開かなかった。ということは、ウィルスに感染してしまうようなことはしなかった。ということなので、単純に言えば、それで良し。とも言えますが、

訓練メールを見て不審なメールだと気づき、添付されていたファイルを開かなかった。

というのと、

訓練メールを見ていなかったので、結果的に添付されていたファイルを開かなかった。

というのでは、天と地ほどの違いがあります。前者は望ましい対応ですが、後者はたまたま開かなかっただけであり、もし、メールを見ていたら添付ファイルを開いてしまっていたかもしれません。

また、訓練であることがメールのタイトルを見てすぐにわかってしまうような状況だったがために、誰も訓練メールを読まずにゴミ箱に直行させた。というようなことだったとしたら、訓練実施の結果として算出される開封率がどれだけ低かったとしても、それをもって自社のセキュリティリテラシーは高いなどとは到底言えないでしょう。

でも、メールを読んだのか?それとも読んでいないのか?が全く分からず、開封率の数値しか手に入らなければ、従業員みんなが不審なメールだと気づいたのかどうか?については判断のしようがないわけです。

それ故に、メールを読んだかどうかを把握したい。というのは、訓練を実施する担当者からすると切実なニーズだったりするわけですが、実際、メールを読んだかどうかを把握する術はあるのでしょうか?というと、

汎用的に使えるような方法は無い

というのが結論という事になってしまうかと思います。現在のメールソフトは、メールの閲覧時に外部に画像データを取りに行くようなことは、標準の設定では行わないようになっているので、特定のメールを閲覧した。という情報を確実に把握する事はできないような状況になっています。

このため、特定のメールを閲覧したといった情報を確実に把握するためには、訓練メール受信者全員のパソコンに操作監視ソフトを入れておくなどして、パソコン上でどのメールが閲覧されているのか?を記録する仕組みが設定されていることが必要となります。

しかしながら、こうした環境を構築するには手間も費用もかかりますので、どの組織においてもできるというものではありません。このため、汎用的に使える方法は無い。ということになってしまうわけです。

添付ファイルを開いたかどうか?よりも大事なことがあります

標的型メール訓練というと、訓練メールに添付されているファイルを開いたかどうか?また、メール本文に記載されているURLリンクをクリックしてしまったかどうか?に注意が向きがちです。

安易に添付ファイルを開いてしまう事自体はとても危険な事であるので、従業員がそうしたことをしないよう教育をすることは当然のことであり、訓練メールに添付されたファイルを開かなかった理由が、不審なメールであると気づいたからなのか?それともたまたまだったのか?を知りたいという理由から、メールを読んだのか?それとも読まなかったのか?を知りたいと考えるのは自然ななりゆきだと思うのですが、実は、添付ファイルを開いたかどうかよりも大事なことがあります。

それは、

不審なメールが届いたことを組織の中で共有しているかどうか?

ということです。

訓練メール自体を読まなかった、また、不審なメールだと気づいてゴミ箱に捨てた。でもよいのですが、不審なメールが届いても誰も何も言わず、セキュリティ担当者に不審なメールに関する報告が全く伝わってこない。というのが、ごく日常の状況だとしたらどうなるでしょうか?

このような状況下で本物の標的型メールが送られてきた場合、不審なメールだと気づいた人はゴミ箱に捨てるかもしれませんが、気づかなかった人は添付ファイルを開いてしまったりするかもしれません。

不審メールが送られてきても、いち早くそのことに気づき、組織内に共有が図られていたら、標的型メールに騙されてしまうような人が出るのを防げる可能性は格段にアップするはずです。

また、セキュリティ担当者にいち早く情報が伝わるようになっていれば、万一、マルウェアに感染してしまうような事態に陥っても、実害が発生するのをタイムリーに防ぐようなことができるかもしれません。

しかし、不審なメールが届いても誰も何も言わず、セキュリティ担当者自身、そうしたメールが届いていることに全く気付いていなかったら、被害が発生してしまうとしても、防ぎようがないわけです。

不審なメールに気づいたら、いち早く報告が上がり、情報が共有される仕組みを作る

訓練メールを読んだのか?それとも読まなかったのか?を知りたいというニーズが発生するのは、不審なメールに関する情報共有の仕組みができていない組織にありがちです。

不審なメールが届いたら、いち早くセキュリティ担当者に報告が上がり、組織内に素早く情報共有が行われるようになっていれば、添付ファイルを開き、「編集を有効にする」のボタンを押してしまったのか?それとも、そうでないのか?については、それほど悩む必要はないはずです。

何故なら、報告が上がり、情報共有がなされるということは、添付ファイルを開いたのかどうかに関する情報も、きちんと報告が上がってくるはずだからです。

標的型メール訓練を実施しても、担当者が把握できるのは、誰が添付ファイルを開いてしまったのか?についての情報だけで、現場の従業員からは何の報告も上がってこず、組織内において、不審なメールに関する情報共有が素早く行われるということもない。なんていうことはありませんか?

また、報告は上がってくるけれど、会社全体に素早く情報が共有されるか?というと、そこまではできていない。という状況だったりしませんか?

添付ファイルを開いてしまうかどうか?は標的型メール訓練の一つの側面でしかなく、添付ファイルを開いてしまうような人を見つけ出し、教育することが標的型メール訓練の目的ではありません。

標的型メール訓練は、いつ、なんどき、どのような標的型メールが送られてきても、組織として慌てることなく対処し、被害が発生することを防げるよう、模擬の標的型メールを用いて練習をするものです。

だから、添付ファイルを開いてしまう人だけでなく、添付ファイルを開かなかった人についても、自身が取るべき行動を理解し、適切な行動を取れているかどうか?を、上長などへの報告の有無を以って確かめるようなことも、訓練の一環に組み入れるべきではないかと思います。

セキュリティ担当者に不審なメールに関する報告が上がってくるのは、訓練を開始してから何分後か?
また、不審なメールに関する情報が会社全体に共有されるまでにどれくらいの時間を要するのか?

あなたの組織でも、訓練を実施する度に、こうした時間を見える化することにチャレンジしてみてはいかがでしょうか?

←前の記事へ(
→次の記事へ(