標的型メールは見抜くことが難しい。は誤りです

子供でも攻撃ができる時代だからこそ、組織はマインドセットを変えるべき

 標的型メールなどのサイバー攻撃はテロリストなどの犯罪者が行うもの。というイメージをもし、あなたが抱いていたとしたら、あなたのそのイメージは既に時代遅れのものです。

 全米広告主協会による調査レポートによれば、動画広告の23%がボット、つまり、コンピュータの「プログラム」が人になりすまして動画広告を見ているそうで、かなりの金額が「デジタル広告詐欺」としてかすめ取られている実態が明らかとなっています。

 そして、このような詐欺行為を行っているのはプロの犯罪者かというと、そうではありません。もちろんプロも存在するでしょうが、このような詐欺行為やサイバー攻撃を行うためのツールは今では簡単に入手することができます。

 身近な例でいえば、オンラインゲームのチート行為(いわゆる「ズル」による不正行為)を行うためのツールを提供したり、チートを代行するといったことは、10代の少年達が日常茶飯事的に行っています。

 罪の意識なくやっているケースもあるでしょうが、ことインターネットにおいては、ツールを使って簡単に欲しい物(お金やレアキャラなど)が手に入るという状況では、ごく普通の人達も簡単に犯罪者となりうるのだ。ということを私たちは意識する必要があります。

何も知らないという状況こそがカモにされる温床になります

 さて、あなたは今や10代の少年たちでさえ、ネット犯罪に加担している事実を知っていたでしょうか?そして、サイバー攻撃を行うためのツールなどが簡単に手に入る時代だということを知っていたでしょうか?

 さらに言えば、ネット犯罪に加担する人達がどのような手を使って犯罪行為を行うのか?について知っているでしょうか?

 残念なことに、こうした問いに対し、明確に「知っている」と答えられる方は多くありません。

ほとんどの組織においては、こうした問いに明確に答えられる方はいない。というのが実状です。今、あなたの周りにいらっしゃる方々に聞いても同様の答えとなるのではないでしょうか?

 つまり、多くの組織においては、自分たちがカモにされる可能性について、全く理解できていない。ということです。

 また、実際にカモにされていたとしても、手口も何も知らないので、全く気付いていない。ということもあるでしょう。事実、サイバー攻撃に遭っているのに何か月も気づいていなかった。という組織の事例は、新聞記事を辿れば幾つも見つけることができます。

何もわからないから業者に丸投げ。をやめよう

 情報セキュリティについては詳しくない。だから業者にお願いする。ということ自体は間違いではありません。というか、わからなければお願いするしかないのですが、ハナから丸投げしてしまっていないでしょうか?

 お金を払ってお願いするのだから、全て業者に丸投げして任せた方が良い、むしろ、お金を払うことで責任も背負ってもらった方が良い。と考える方もいらっしゃるかもしれません。

 お金を払って任せることで、イザ問題が発生した際に、業者に一定の責任を取ってもらうことはできるかもしれませんが、会社自体の責任が免れるわけではありません。場合によっては、業者に丸投げしていたこと自体が、世間から責められる口実となってしまうことも有りえます。

 そこまではいかなくとも、丸投げしてしまうことは、足元を見られる原因になったり、業者が行っていることを評価できないばかりに適切な対策が取れていない。といった状況を生み出す可能性があります。

 何もわからないから業者に丸投げ。は、担当者のマインドセットとしては正しくありません。

自分たちが今、何をやるべきか?を正しく理解した上で、
自分達には何ができて、何ができないのか?を見極め、
自分たちでやるべきことは何で、自分たちではやらずに外部に委託すべきことは何か?
を判断した上で評価基準を定め、業者に作業を委託する。

 これこそが、組織にとって必要なマインドセットであるべきです。

業者に丸投げした標的型メール訓練はこうなる

 標的型メール訓練を請け負ってくれる会社は全国に多数あります。キットを使ってお客様に訓練サービスを提供したい。という会社からのお問い合わせもよくいただきます。

 標的型メールについて何も知らなければ、自分達ではどうしたらいいかよくわからないので、こうした会社に一切をお願いして訓練を実施してもらう。と考える担当者の方もいらっしゃることでしょう。

 しかし、何も知らないからといって業者に丸投げした場合、

固定の訓練メールテンプレートを使い、
同じ内容の訓練メールを期間を空けて2回送付し、
1回目と2回目の訓練メールの開封率を比較して、
2回目は1回目よりも開封率が下がったから、
教育効果がありました。

という結果になるかもしれません。そして、訓練を委託した担当者や会社の重役の方々は、教育効果があったという結果だけを見て、「ウチもこれで大丈夫だな」などと思うかもしれません。

 一見すると、何も間違ってはいないように見えますが、このような訓練の実施の仕方はもちろん、開封率を見て教育効果があったと評価すること自体がもはや間違いであり、このような訓練を有難がって受けてしまうとしたら、それは無知以外の何物でもありません。

 2回目は1回目よりも開封率が下がったから標的型メールへの備えは大丈夫だ。などということが何故言えるのでしょうか?ということを突っ込んで考えれば、開封率を評価基準に据えること自体が間違いであることに気が付くはずですが、自分は何もわからないからと業者に丸投げしていては、こうしたことに気づくこともないかもしれません。

だからこそ、自分達の手で標的型メール訓練をやるべきなのです

 お金さえあれば、標的型メール訓練は外注できます。しかし、標的型メールのパターンは今や無数にあります。1回訓練をやれば、それで全ての標的型メールに対応できる。というものではないのです。

 あなたは無数にある標的型メールのパターンを全て把握しているでしょうか?それぞれのパターンの手口について理解ができているでしょうか?

 手口がわかれば、防御するための手立ても考えられます。知識があれば、組織内のウィークポイントについて、先んじて手を打つこともできます。また、業者に委託するにしても、その内容を正しく評価することができます。

 わかっている。ということは、全てにおいて大切なことです。そして、わかるためには実際に自分の手で一度はやってみることです。実際にやってみることでわかること、気づくことが沢山あります。この経験・知見が組織をサイバー攻撃から守る重要な情報(インテリジェンス)となるのです。

 幸い、標的型メール訓練は「標的型攻撃メール対応訓練実施キット」を使えば、Windows7パソコンが1台あれば、自分たちの手で実施することができます。様々なパターンで訓練を実施すれば、きっと多くの事に気づくことでしょう。その上で、あえて専門業者の力を借りたいと思えるような点が出てくるなら、その時は明確な評価基準も出来上がっているはずです。そうなれば、業者に丸投げで訓練を実施するよりもずっと高品質な訓練を実施することができるはずです。

 この際、セキュリティは難しい。という固定観念は捨て、是非、あなたの組織でも標的型メール訓練を自分たちの手で実践してみて下さい。あなたの組織におけるマインドセットを変えるチャレンジに、是非、キットを役立ていただけたらと思います。

サブコンテンツ