標的型メールは見抜くことが難しい。は誤りです

標的型メール訓練で使用するメールアドレスを詐称することはできますか?

titleban

midori_comi_01

標的型メール訓練で使用するアドレスって何を使うの?

標的型メール訓練を実施するに際して多い質問の一つが、訓練実施に際して送信する訓練メールの差出人名とメールアドレスは何にすべきだろうか?というもの。

特に多いのは「アドレスを詐称するにはどうすればいいでしょうか?」というご質問です。リアルな世界での詐欺行為においては偽名が使われるのが一般的なだけに、不審なメールにおいても、身元を特定されないよう、実在しないアドレスや差出人名を使うというのは、誰もが真っ先に思い浮かべること。今回はこの点について考えてみたいと思います。

ちょっと待って!アドレス詐称って本当に必要?

もしあなたが、「アドレスを詐称するにはどうすればいいのだろうか?」と、今まさに思っているところなのであれば、一つ質問をさせてください。あなたは何故、アドレスを詐称する必要があると考えていらっしゃるのでしょうか?

ここでもしあなたが、

いやあ、標的型メールっていったら、アドレスは詐称するものなんでしょ。ネットを見ても、実在しないアドレスを騙ってメールを送り付ける。なんて書いてあるし。

といったような理由でアドレスを詐称する方法を探しておられるのだとしたら、考えていただきたいことがあります。

詐称されたアドレスを使う理由って何ですか?

明確な理由もないのにアドレスの詐称方法について考えるのは本末転倒

標的型メールで使われるアドレス(差出人名)は「詐称されたアドレス」を使うもの。ともし、あなたが思っているとしたら、それはスパムメールなどのイメージから来る単なる思い込みです。

標的型メールだから、詐称されたアドレスを使うのではありません。

ターゲットにURLをクリックさせたり、添付ファイルを開かせたりするため、メールの受信者に疑いの念を抱かせないという目的のために、たまたま「架空のアドレス」が使われるだけなのです。

ですから、訓練メールだから詐称したメールアドレスで訓練メールを送らないといけない。と思い、メールアドレスを詐称する方法について探しているとしたら、それは本末転倒であると言えます。

うっかり信じてしまいやすいのは、実はよく知っているアドレス

人の習性として、普段から見慣れているものには疑いの念を抱きにくい。ということがあります。

訓練メールにおいてもこれは同じで、全く知らない差出人から送られてくるメールより、会社のアドレスを使ったメールの方が、「ん?」と思われてしまうことが少なかったりします。

あなた自身、よく知っている人のアドレスからメールが送られてきていたら、タイトルと差出人名だけでは何の疑念も持たないのではないでしょうか?

これに、メールのタイトルとマッチした本文と添付ファイルがあれば、何の疑念も持たずに本文を読み進め、さらに、添付ファイルを開くことや、URLをクリックすることの妥当性が納得できるような本文の内容となっていたら、うっかり添付ファイルを開いたり、URLをクリックしたり、といったことに繋がります。

訓練メール送付の目的の一つは、添付ファイルを開かせたり、URLをクリックさせたりといったことにあるわけですから、そこにうまく繋げられるものであることが重要なポイントであり、アドレスを詐称するかどうかは、その目的達成のための方法の一つでしかありません。

ですから、訓練メールで使用する送信元のアドレスについては、

何故、そのアドレスを使うのか?

をしっかり考える必要があります。

アドレスありきで考えるのではなく、自社の従業員は、どのような人から送られてきたどのような内容のメールであれば、疑いもなく読み進めてしまうだろうか?を考え、最終的にどのようなアドレスを使うのかを考える。

この結果として、アドレスを詐称する。ということになることもありますが、初めて標的型メール訓練を実施するような組織であれば、アドレスを詐称などしなくても、訓練用に社内アドレスを一つ作って、そのアドレスで訓練メールを送るようにすれば十分だったりします。

自社のメールアドレスを使うという方法は、実は一番手軽でありながら、訓練においても狙った結果を得やすい方法でもあるのです。

自社のメールサーバから送るのでは訓練にならないでしょ。と思うことの間違い

標的型メール訓練は、「送信元」「本文の内容」「添付ファイルの内容」「訓練実施の方式」の組み合わせによって、無数と言えるほどの訓練パターンを作り出すことができます。

自社のアドレス以外のアドレスを使うのも一つの方法ですが、自社のメールアドレスを使うというのも一つの方法なので、一度は実施されることをお奨めしたいのですが、このような話をすると、自社のメールサーバからメールを送ると、メールヘッダを見れば社内から送られてきたものだとわかるので、訓練にならないのではないか?と仰る方がいます。

この発言の背景には、「社内から標的型メールが送られるわけがない」ということがあるのですが、決してそんなことはありません。

社内のパソコンがウィルスに感染していて、そのパソコンを踏み台に社内にメールが送信される。ということは考えられないシナリオではありません。このようなシナリオでは、社内から標的型メールが送られることになるわけです。

もし、あなたや、あなたの周りの方が、社内から送られているメールなら何の問題もない。と思っているとしたら、それはとても危険なことです。社内から送られるメールは安全という前提が知らないうちに崩されていたら、攻撃者は簡単にあなたの組織を攻略できてしまうことになります。

このような問題に対する防御策は、一つの前提が崩されても、幾つもの別の前提によって防御できる仕組みを作っておくことです。社内から送られてくるメールだからといって、必ずしも安心できるわけではない。ということを社員全員が意識するようにしておくことは、その一つです。

社内のアドレスは標的型メール訓練では使えない。と考えるのも単なる思い込みに過ぎないのです。

でも、やっぱりアドレスを詐称して訓練メールを送信したい

しかし、そうはいっても、やっぱりアドレスを詐称して訓練メールを送信したい。ということは有ろうかと思います。

では、実際にアドレスを詐称してメールを送信するには、どうすれば良いのでしょうか?その答えを知るには、昨今のメールセキュリティ事情について知っておく必要があります。

この続きは、『訓練メールで、偽装したメールアドレスを使うには?』をご参照下さい。

訓練メールで、偽装したメールアドレスを使うには?を読む

標的型メール訓練に関するご質問をお請けしています!

標的型メール訓練に関する、あんな疑問やこんな疑問がありましたら、
お問い合わせフォームより、お気軽にお問い合わせ下さい。
お寄せ頂いたご質問には、できる限り迅速に回答をさせて頂きます。kitBan03

サブコンテンツ