え!そんなに?あなたが思う以上に大きい社内のリテラシー格差
ウィルス対策ソフトをインストールし、メールソフトのセキュリティ設定をそれなりにしていれば、マクロが設定されたファイルや、exe実行形式ファイルがメールに添付されていた場合は、警告メッセージが出るものです。
それゆえに、exe実行形式ファイルや、Word文書ファイルにマクロを設定したものをzipファイル化し、メールに添付する形での標的型攻撃メールの演習は、わざわざzipファイルを解凍し、ファイルを開くという手順の多さから、さすがに、誰もそんなもの開いたりしないだろう。と考える方は多いようです。
しかし・・・
2013年、4%、300人
「2013年、4%、300人」これは何の数字だかわかるでしょうか?
この数字は、2013年に、ある企業で実際に実施した標的型攻撃メールの演習において、模擬のマルウェアプログラムを実行してしまった人の開封率と、その人数です。
端数ははしょっていますので、大凡の数値ですが、300人と聞くと、ずいぶん沢山いると感じませんか?
しかもこの数値は、「さすがにそんなもの誰も開いたりしないだろう」とセキュリティ担当者が考える、exe実行形式ファイルをzip化した添付ファイルを使っての演習での数値です。
更に特筆すべきは、この数値を記録した企業においては、セキュリティ教育は毎年実施されており、他の企業に比べても、セキュリティ教育が疎かになっているなどということはない。ということです。
にもかかわらず、300人もの人が、模擬とはいえ、マルウェアを実行してしまった。それも、わざわざzipファイルを解凍して・・・。
この事実から言えることは、あなたが思うよりも、セキュリティに関するリテラシーの格差は非常に大きい。ということです。
あなたの常識は、他人の常識とは限らない
さすがにセキュリティ担当者ともなれば、セキュリティに関するリテラシーが高いのは当然とも言えます。
それゆえに陥りがちなのが、「自分の常識の範疇で物事を考えてしまう」という罠。
毎日セキュリティ対策に関する情報に触れていると、出所不明なexeファイルを実行する人なんてさすがにいないだろうとか、いまどき、マルウェアについて知らない人なんているわけないだろう。と思ってしまいがちです。
ましてや、それが、セキュリティ教育をしっかりやっている社内でなら、尚更かもしれません。「まさか、ウチの社員に限ってそんなことあるわけないだろう」ってやつです。
しかし、事実は小説より奇なりで、実際には「まさか?」と思うようなことがあるものです。300人という数値は、まさにそれを物語っています。
あなたが常識だと思っていることは、意外なほどに、他人にとっては常識ではなかったりするもの。
セキュリティ教育も、標的型攻撃メールの演習も、まさか、そんなことしないでしょ?というレベルにまで落として内容を考えることは、意外に必要なことだったりするのです。
演習こそ、自社のリテラシーレベルを確認するのに絶好の機会
exe実行形式ファイルや、Word文書ファイルにマクロを設定したものをzipファイル化し、メールに添付する形での標的型攻撃メールの演習をやったことがない。というのでしたら、是非一度は実施されることをお奨めします。
標的型攻撃メールの演習は、模擬のマルウェアファイルを実行させることが目的ではありません。
ともすると、如何に添付ファイルを開かせるか?に関心が行ってしまいがちだったりしますが、本来の目的は、組織内のリテラシーレベルを底上げすることにあります。
これは逆に言えば、組織内のリテラシーレベルはどこまで低いのか?をあぶり出す。ということでもあります。
まさかそんなことしないだろう。という思い込みは、リテラシーレベルが低い人を置き去りにしてしまうという危険性をはらんでおり、そしてそれは、「人のセキュリティホール」が開いたままの状態を放置してしまうということに繋がります。
まさかそんなことしないよね?ということを、演習によって確かめれば、組織内のリテラシーレベルを確実に把握することができます。
誰もそんなことしなければそれで良し。でも、予想に反して、まさか?と思うようなことをしてしまう人が居たら・・・。
ここまでお読みいただけたら、「そんなことするわけないでしょ」と思うことも、演習としてやってみることに価値がある。ということをご理解いただけるのではないでしょうか?
→次の記事へ( シャドーIT×ウェアラブル×BYOD、システムで制御することの限界 )
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。
