HTMLメールの形式で標的型メール演習を行う場合の注意点
URLリンククリック型の標的型メール演習を実施する場合、従業員に送付する演習用のメールの形式をHTML形式とするか?それとも、テキスト形式とするか?ということについては、迷われる方もいらっしゃることでしょう。
普段、メールを受信しているぶんには、HTML形式でメールを受け取っているのか、それともHTML形式でメールを受けっとっているのかについては、あまり気にしないことかもしれませんが、演習を実施する上では、注意しなければならない重大なポイントがあります。
HTML形式なら、リンク先のURLを偽装できる
HTML形式のメールを使うと、Web画面と同様、文章に装飾を施すことができます。
文字の色や大きさを変えられることはもちろんですが、リンク先となる実際のURLと、画面に表示されるリンクの文言を違うものにできる。というのは、演習を行う上では大きなポイントです。
例えば、以下は実際に送られているフィッシングメールの例ですが、この例のように、HTML形式のメールを使うと、表示されるURL(http://www.ncsoft.jp/~)と、実際のリンク先(http://ncsoft.jp.logix.cqmpn.com/~)を違うものにすることができます。
実際のリンク先URLが「如何にも怪しい」、また、すぐにそれと気づかれてしまいやすいと思えるようなものである場合は、HTML形式を使って見た目を変えてしまうのは一つのテクニックと言えます。
しかし、メールが相手に届いた際に、HTML形式で表示されるとは限らない
ということで、怪しいURLを隠ぺいできるHTML形式は便利ですが、では、メールをHTML形式で送ればそれでOKか?というと、そうではありません。
Webブラウザに表示されるのと同じデータを送ることができるHTML形式では、JavaScriptなどのプログラムも埋め込むこともできます。
このため、HTMLのデータが表示されるのと同時に、悪意を持ったプログラムを実行させることもできてしまう可能性があるということで、セキュリティ対策として、各メールソフトでは、HTML形式のメールを受信しても、HTML形式では表示せずに、強制的にテキスト形式でメールを表示することができる機能を具備しています。
この機能を有効にすることにより、HTML形式のメールを受信しても、悪意のあるプログラムは実行されずに済む。というわけです。しかしこの場合、標的型メール演習を行う上では少し困ったことが起こります。
それは、前段で記載した、メールに表示されるリンク先と、実際のリンク先を違ったものにすることができなくなる。ということです。
例えば、前段でご紹介したメールであれば、テキスト形式表示の設定がなされている場合では、以下のように、表示用のURLと、実際のリンク先の両方が表示されるような恰好になります。
HTML表示用とテキスト表示用の2つを設定できるマルチパート
このように、HTML形式のメールを受信しても、テキスト形式で表示するよう、メールソフト側の設定がなされている場合の対応として、テキスト形式で表示される場合と、HTML形式で表示される場合で内容を変えることができる、「マルチパート」を利用する。という方法があります。
雑誌のように複雑なレイアウトで組まれたHTML形式のメールを強制的にテキスト形式で表示させると、レイアウトが崩れてしまって、まともに読むことも難しくなってしまいますが、マルチパート形式のメールにすると、テキスト形式での表示専用のメールを送ることができるので、メールの受信者側がHTML形式での表示を不可としている場合でも、きちんとメールを読んでもらうことができます。
この「マルチパート」の利点を利用して、強制的にテキスト形式でメールを表示するような設定としているユーザ向けには、実際のリンク先しか表示しないようなレイアウトにすることで、表示用のURLと実際のリンク先の両方が表示されてしまって、受信者側に却って「怪しい」と思われないよう工夫することができます。
Microsoft OutLookはマルチパートに対応していないので要注意
では、メール本文にURLリンクを設定する標的型メール演習においては、マルチパート形式でメールを送ればよいのか?というと、話はそう単純ではありません。
Microsoft OutLookでは、マルチパート形式のメールを受信してもテキスト形式の本文は無視され、HTML形式の本文からテキスト表示用のデータを生成して表示する。という処理が行われます。
何故このような仕様になっているのか?というと、メールソフトではテキスト表示とHTML表示を手動で切り替えることができるようになっており、テキスト表示からHTML表示に手動で切り替えを行った場合は、メール本文に含まれているJavaScriptなども一緒に実行されてしまうことになります。
この動きを逆手に取り、テキスト表示の本文には、全く怪しくない、まっとうな内容の文を記載しておき、HTML表示の方には不正なプログラムを忍ばせておくことで、テキスト表示の内容を見て、このメールなら大丈夫だろうとユーザを安心させ、不正なプログラムが仕込まれているHTML表示に誘導するということができます。
これはセキュリティ的に問題であるので、不正なプログラムが仕込まれている可能性のあるHTML形式のデータを元に、テキスト形式のデータを生成するという仕様としているのであろうと推測されます。
このような仕様については、賛同できるところもありますが、テキスト表示ではHTML形式とは違う内容をあえて表示させるようにしたい。という場合には、その要望が叶えられないということになってしまいますので、これは厄介です。
社内でOutLookを使っているなら、テキスト表示形式をベースにURLリンクを考えるべし
OutLookでは、マルチパート形式のメールを作成しても、テキスト表示用のデータは無視されてしまう仕様なので、これはもう、どうしようもありません。
OutLookを全く使用していない企業様であれば、マルチパート形式のメールを使うことは選択肢となり得ますが、OutLookを使用しているユーザが居る企業様では、このような理由から、マルチパート形式のメールを使うことは選択肢とはなり得ません。
OutLookでは、HTML形式のデータからテキスト表示用のデータが作られますので、これを前提としてメール本文を考える必要があります。
考慮するポイントとしては、
1.偽装しなくともクリックしてもらいやすいURLを考える。
2.メール本文の脈絡から、リンクをクリックしたくなってしまうよう、心理トリックを考える。
ということになりますが、テキスト形式のメールの内容から、如何にリンクをクリックさせるか?について考えることは、標的型メールについて深く知ることにも繋がりますので、標的型メール演習を実施するに際しては、ある意味、これは王道と言えるかと思います。
→次の記事へ( 訓練は小さく始めて大きく展開する。自前だからこそできること )
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。
