「標的型メールに気をつけよう」って、一体、何に気を付ければいいのよっ！

標的型メール訓練をするなら、標的型攻撃メール対応訓練実施キットがお役に立ちます。訓練実施に関すること、何でもお問い合わせ下さい。

「標的型メールに気をつけよう」って、一体、何に気を付ければいいのよっ！

[セキュリティ教育]



先日、年配の経営者と思われる女性が、部下と思われる女性とこんな話をしていました。

「なんかまた、（よその会社が標的型メールに）やられちゃったみたいねぇ」

「そうみたいですねぇ」

「私も変なメールには気を付けてるんだけどさあ、こんなのいちいち見分けてられないのよねえ。いかにも怪しいメールっていうの？そういうのは一応見てるんだけど、なにせ海外から沢山メールが来るからさあ、どれが開けちゃいけないメールかなんて、いちいち見分けてられないのよね」

さて、これを読まれた方の中には、「そうそう、ウチもそうなんだよな」と思われた方もいらっしゃるのでは？と思います。

日本国内の取引先としかメールのやり取りをしない方であれば、海外からのメールや、妙な日本語の使い方がされているメールが送られて来れば、すぐに不審なメールだと気づきやすいですが、海外を相手に仕事をされている方であれば、日本語の言い回しが不自然だからといって、それが全て不審なメールか？というと、そうではないというケースも多いかと思います。

毎日何百通とメールを受信している方からすれば、１通のメールにそうそう時間をかけていられるはずもなく、怪しいメールかどうかを、メール本文を見ていちいち判断するなんて無理！と思ってしまうのも無理からぬことかと思います。

「標的型メールに気をつけてください」と言うのは簡単ですが、そうは言ったって、一体、何に気を付ければいいのよっ！と思うのは、冒頭の女性ばかりではないでしょう。

適切な見分け方を教えずに「気をつけよう」と言っても無意味

あたりまえのことですが、具体的に何に気を付ければよいのか？を教えることなく、ただやみくもに「危ないから気を付けよう」と言ったところで、言われた方は何をすればよいのかさっぱりわからないものです。

なので、怪しいメールを不用意に開封しないようにするための対策として、

・メールアドレスがおかしかったり、文章がおかしいなどの部分を探す
・添付ファイルがexeファイルでないかどうかを確認
・見慣れないURLでないかどうかを確認

といったことが言われるわけですが、よくあるのは、こうした見分け方をただ並べ立てて、気を付けて欲しいポイントはこれだけあるから、みんな気をつけてね。と言うやり方です。

何も教えないで「気を付けてね」とだけ言うよりはマシですが、あれこれ並べ立てて気をつけろと言われても、セキュリティに疎い初心者からすれば、そうしたポイントの全てをいきなり覚えられるはずもなく、

なんか色々あって面倒　⇒　私にはそんなの無理！

と、半ば投げやりになってしまう人が出てきてもおかしくはありません。
実際、

「標的型メールを見分けるなんて無理」とか、
「標的型メールを従業員に見分けさせるなんて無謀」

といった意見は、昔から少なからずあり、だからシステムで防御すべき。と主張するシステムベンダーや専門家も存在します。

では、標的型メールかどうかを見分けるのは本当に難しいのか？というと、決してそんなことはありません。

メールアドレスや本文、添付ファイルなどを総合的に見ないと、標的型メールかどうかを判断できないのか？というと、決してそんなことはなく、見るべきポイントに優先順位を付けて見るようにすれば、標的型メールかどうかを見分けることは簡単にできます。

きちんと整理して教えればわかりやすいことなのに、整理して教えないから、教わる方も混乱してしまい、結局、何に気を付ければよいのか分からないままになってしまう。

折角、標的型メールについて教える機会があっても、これでは折角の機会が活かしきれず、勿体ないと言わざるを得ません。

どうしたら被害に遭うのか？これを教える事が肝心です

ランサムウェアや、マルウェアによる情報漏洩など、私たちに被害をもたらすもののパターンは幾つもありますが、共通して言えることは、私たちに被害がもたらされるのは、私たちのコンピュータ上で、何らかのプログラムが実行されることによってです。

コンピュータは何も実行されなければただの箱です。電源の入っていないパソコンから情報が漏れるなんてことはありません。

これはすなわち、犯罪者は、ターゲットとする相手のコンピュータ上で、自分たちが作ったプログラムを実行することができなければ何もできない。ということです。

ということは、犯罪者はどうやって、私たちのコンピュータ上で、彼らが作ったプログラムを動かそうとするのか？

その手口を知り、その手口にまんまとはまってしまわないようにしさえすれば、被害に遭うのを防ぐことができます。

そして、その手口は実のところ、以下の２つしかありません。

１．あなたにプログラムを実行させる。
２．コンピュータの脆弱性を突いてプログラムを送り込み、実行させる。

このうち、２．はシステム担当者が主担当として気を付けるべきことなので、一般の従業員が気を付けるべきは１．だけです。

標的型メールの種類やパターンは無数にあれど、結局のところ、私たちは、犯罪者が作ったプログラムを実行してしまう。なんていうことが無いよう注意すればそれでよいのです。

例えば、拡張子が.exeの添付ファイルは絶対に開かない。というのは、その方法の一つです。

添付ファイルの拡張子が.exeだったら無条件で開かない。こうすれば、いちいち目を皿のようにしてメールアドレスや本文を見て、怪しいメールかどうかを考えるなんて必要はありません。

本当に抑えるべきポイントを教え、そこに着目して気を付けるようにする。

ちょっと手口を変えただけの標的型メールにまんまと騙されてしまったり、標的型メール訓練を何度もやっているのに、被害に遭ってしまう。なんていうことが起きるのは、こうした本質を教えていないからです。

標的型メールを見分けることは決して難しくありません。難しくしているのは、教える側の教え方の問題だったりするのです。

←前の記事へ（ 開封率の全国平均値や業界平均値はどれくらい？ ）
→次の記事へ（ 開封後の素早い対応が大事。とは言うけれど・・・ ）

サブコンテンツ
サイドバー

標的型メール訓練実施の教科書
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。

【まず初めに】
子供でも攻撃ができる時代だからこそ、組織はマインドセットを変えるべき
演習実施の必要性について
小さく始めて大きく展開する。自前だからこそできること
演習実施にまつわる誤解
演習の実施は大袈裟？
演習実施によって思い込みを排除する
演習を繰り返し実施することの意義
何人が開封？で一喜一憂しない。演習で本当に重要な事とは？
標的型攻撃メールの演習はお金がかかる。は、もう過去の話です
exeファイルの実行はブロックされる。故に訓練など意味がない。は本当？
何故？セキュリティ対策をしっかりやっている組織が被害に遭うのか？

【標的型メール訓練How to】
第1話　さあ、標的型メール訓練を実施しよう！
第2話　まず初めにこれをやろう！
第3話　スコープを決めよう！
第4話　戦略として訓練実施の実行委員会を立ち上げる
第5話　訓練実施の方法を決めよう！
第6話　訓練メールの形式を考えよう！
第7話　訓練メールに添付する、マルウェアファイルを作ろう！
⇒条件さえ揃えば簡単に騙せる。心理学を悪用した巧妙な手口
⇒Wordなどの文書ファイルを標的型メール訓練に使う
⇒exeファイルを模擬のマルウェアとして使う
⇒Windowsのショートカットを模擬のマルウェアとして使う
⇒URLリンクをメール本文に記載して訓練を実施する
⇒標的型メール演習で使用するURLリンクはどうするか？
⇒HTMLメールの形式で標的型メール演習を行う場合の注意点

第8話　訓練メールを送信しよう！
⇒偽装したメールアドレスを使うには？
⇒抜き打ちで訓練を実施するのは有り？
⇒Excelを使って訓練メールを送信する
第9話　次に繋がる実施結果報告の作り方
⇒開封者情報の集計を簡単に！
第10話　次回に繋がるフィードバックを得よう！
第11話　PDCFAのサイクルを回そう！
第12話　次回の訓練実施に向けての課題の抽出

サイト内検索