標的型メールなんて開かなければいいだけ。と思っていませんか？

標的型メール訓練をするなら、標的型攻撃メール対応訓練実施キットがお役に立ちます。訓練実施に関すること、何でもお問い合わせ下さい。

標的型メールなんて開かなければいいだけ。と思っていませんか？

[標的型攻撃メールを知る]

日本年金機構の個人情報流出問題。いまどき標的型メールを誤って開くなんてアホすぎる。なんていう批判もあるようですが、実際に標的型メールを目にした経験があり、様々な攻撃手法についてよく知っている方なら、「標的型メールを誤って開くなんてアホ」とは安易には言ったりしないものです。

何故なら、標的型メールについてよくわかっている方ほど、標的型メールを開いてしまうケースがあることを知っているからです。

未だに「怪しいメールは開かないようにしましょう」なんて言っていませんか？

ウィルス付きのメールというと、海外から送られてくるものが多いだけに、文面が英語だったり、変な日本語が使われていたりするものが多いことから、「怪しいメール」という印象があります。

「怪しいメール」なら開かなければいいだけ。ということから、標的型メールを誤って開いてしまうなんてアホなんじゃないか。と考える方がいても致し方ないのですが、標的型メールは「怪しいメール」か？というと、実際にはそうではありません。

標的型メールは「怪しいメール」、だから開かなければいい。というのは、標的型メールについて知らない方の認識であり、標的型メールへの対応について、

「怪しいメールは開かないようにしましょう」

と社内周知を行っている組織があるとしたら、それは間違いではありませんが、全く以って片手落ちの周知であることを認識すべきです。

開かざるをえない状況を作り出すのも、標的型メールの手口の一つ

標的型メールは、不特定多数を狙ったスパムメールと違い、誰かが開いてくれれば儲けもの。というものではありません。

確実にメールを開封させることを狙って、これなら相手が開封するだろう。という内容を装って送ってくるのが標的型メール。ですから、標的型メールは「怪しいメール」という印象を持っているとしたら、まずはその印象を捨て去る事が必要です。

例えば、クレーム対応の窓口にクレームのメールが送られて来たら、担当者はそのメールを無視することなどできないでしょう。

そのメールにウィルスが仕込まれていたとしても、実在するお客様から送られてきたと思われるメールなら、開かずに捨てるなんていうことはできないはずです。

標的型メールを送ってくる相手は、こうした心理を巧みに利用するものです。もし、あなたが攻撃者の立場なら、あの手この手を使って、ターゲットとする相手が開かずにはいられない内容のメールを作ろうと考えるはずです。

標的型メールを開封してしまうことを完全にゼロにすることはできない。

と言われるのは、このような理由からです。

怪しいメールを開かないようにすることが標的型メール訓練ではありません

標的型メール訓練というと、模擬の標的型メールを送ることから、怪しいメールを見分けるための訓練と思われがちですが、それは正しい理解ではありません。

確かに、不審なメールであるかどうかを見分ける目を養うという目的はありますが、標的型メールかもしれないとわかっていても、開かないわけにはいかないケースもあることを考えれば、「怪しいメールかどうかを見極める」というのは、訓練実施の目的の一つでしかありません。

「怪しいメールなんて開かなければいいだけなんだから、訓練をやる必要なんて全くない」

と言う方がもし居るとしたら、それは訓練実施の主旨を誤解されています。標的型メール訓練は、

1. 不審な仕掛けがメールに施されていないかどうかを見極めることができる。
2. 万一、これが標的型メールだったら何が起こるか？を想像・推察できる。
3. 万一、これが標的型メールだったらどうすればいいか？を自分で考えられる。

といったことを、組織に属する誰もができるようにすることを目的として実施するものです。

レベルの高い組織ならばさらに、組織全体での連携が澱みなくできるかどうか？というのも、訓練実施の目的の一つに加わってくることでしょう。

会社全体として習慣化するには、組織全体での練習が不可欠

送られてきたメールが標的型メールなのか？それとも通常のメールなのか？に関係なく、「もし、これが標的型メールだったらどうなるだろうか？」また、「もし、そうだったら、自分はどう行動すればいいだろうか？」を誰もが常に意識し、いつでも適切な対処ができるよう、会社全体として習慣化する。

これができていれば、ウィルスメールについて社内喚起したにもかかわらず、その後もあちこちでウィルスメールを開いてしまい、感染が拡大する。などということは防ぐことができるはずです。

しかし、このようなことを達成するには、従業員一人一人の意識に頼る。ということでは到底おぼつきません。チーム練習をしなければチームとして強くなることができないように、組織全体で幾度となく練習を繰り返すことがどうしても必要です。

組織を守るためにも重要なことだからこそ、面倒がらずにやる。

お客様のため、株主のため、従業員とその家族のため、そして、後進に範を垂れるという意味でも、率先して行動する姿勢こそが大切なのではないでしょうか。

←前の記事へ（ 専門家じゃないからわかりません。を暗黙の言い訳にしていませんか？ ）
→次の記事へ（ 魂は細部に宿る－それはセキュリティ対策にも当てはまることです ）

サブコンテンツ
サイドバー

標的型メール訓練実施の教科書
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。

【まず初めに】
子供でも攻撃ができる時代だからこそ、組織はマインドセットを変えるべき
演習実施の必要性について
小さく始めて大きく展開する。自前だからこそできること
演習実施にまつわる誤解
演習の実施は大袈裟？
演習実施によって思い込みを排除する
演習を繰り返し実施することの意義
何人が開封？で一喜一憂しない。演習で本当に重要な事とは？
標的型攻撃メールの演習はお金がかかる。は、もう過去の話です
exeファイルの実行はブロックされる。故に訓練など意味がない。は本当？
何故？セキュリティ対策をしっかりやっている組織が被害に遭うのか？

【標的型メール訓練How to】
第1話　さあ、標的型メール訓練を実施しよう！
第2話　まず初めにこれをやろう！
第3話　スコープを決めよう！
第4話　戦略として訓練実施の実行委員会を立ち上げる
第5話　訓練実施の方法を決めよう！
第6話　訓練メールの形式を考えよう！
第7話　訓練メールに添付する、マルウェアファイルを作ろう！
⇒条件さえ揃えば簡単に騙せる。心理学を悪用した巧妙な手口
⇒Wordなどの文書ファイルを標的型メール訓練に使う
⇒exeファイルを模擬のマルウェアとして使う
⇒Windowsのショートカットを模擬のマルウェアとして使う
⇒URLリンクをメール本文に記載して訓練を実施する
⇒標的型メール演習で使用するURLリンクはどうするか？
⇒HTMLメールの形式で標的型メール演習を行う場合の注意点

第8話　訓練メールを送信しよう！
⇒偽装したメールアドレスを使うには？
⇒抜き打ちで訓練を実施するのは有り？
⇒Excelを使って訓練メールを送信する
第9話　次に繋がる実施結果報告の作り方
⇒開封者情報の集計を簡単に！
第10話　次回に繋がるフィードバックを得よう！
第11話　PDCFAのサイクルを回そう！
第12話　次回の訓練実施に向けての課題の抽出

サイト内検索