企業におけるサイバー脅威の一つとして認識される標的型攻撃メール。その対策となるのが標的型攻撃メール訓練ですが、どのようなメールの文面にするかは訓練成否の大きなポイントです。訓練に利用するメール文面は、トレンドを抑えて、以前に実施した時とは変える必要があります。
本記事では、標的型攻撃メール訓練を成功させるための文面作成のポイントを説明します。
メール受信者にどのように訴えかける内容なのか、基本の3パターンを抑えておきましょう。
また、すぐに、そのまま使える文例・サンプルも掲載していますので、訓練実施にご活用ください。
本記事以外にも、標的型攻撃メールの文面/文例をお探しの方に、標的型攻撃メール 事例・サンプル集を無料で配布しています。こちらも、ぜひご活用ください。
標的型攻撃メール訓練についておさらい
標的型攻撃メールとは
標的型攻撃メールとは、悪意のある第三者が企業や組織に個別に送り付ける、巧妙な騙しの手法が盛り込まれたメールです。
ウイルス感染、情報窃取、不正アクセスなどを目的としています。受信者がうっかり開封やクリックしてしまう仕掛けが盛り込まれており、従業員が適切な知識・リテラシーを持って見破り・対応することが求められます。
重要ポイントとして、メール受信者の業務や個人情報などを事前に調べて、興味のある内容のメールが送られてくる点があげられます。不特定の第三者向けのばらまき型メール攻撃とは、この点が一線を画しています。
標的型攻撃メールの被害事例
2015年、日本年金機構から利用者125万人分の個人情報が流出したことが公表されています。職員を狙った標的型攻撃メールからのマルウェア感染が原因でした。
2023年、東京大学にて、2,000人以上の学生他の個人情報が流出した事が報告されています。こちらは教員を狙い、業務についてのやり取りを装ったメールからマルウェアに感染させる手口と見られています。
標的型攻撃メールはその他のサイバー攻撃と組み合わせて利用されます。多くの場合は攻撃の契機は攻撃者にしかわからないため、ランサムウェア被害事例などにも標的型攻撃メールが契機として利用されているケースが混じっていると考えられます。
標的型攻撃メールの被害事例については、こちらも参照ください。
標的型攻撃メール訓練とは
標的型攻撃メール訓練は、標的型攻撃メールに対して従業員が間違えた対応をしないことを目的として行います。攻撃メールを模したメールを従業員に送信し、従業員がそれを見破り、対応する力を養うものです。
より詳しくは「セキュリオ」標的型攻撃メール訓練ページで解説しています。こちらも、ご参照ください。
標的型攻撃メール訓練で押さえるべき3つの基本パターン
標的型攻撃メールにおける文面については、下記の3つのパターンに大きく分類できます。訓練実施に際しては、どのパターンを利用するかを決めておきます。
また、訓練を複数回行う場合は、特定のパターンに偏り過ぎないようバランスをとることも大切です。
パターン1:業務に関連する「なりすまし型」
業務上関連のある相手になりすまして、業務連絡を装いやり取りする中で情報の略取やマルウェアへの感染に導くパターンです。事前に攻撃の相手の業務内容や取引先、上司や同僚などを調べ、その延長線上のような内容のメール文面であることが多いです。
普段の業務と勘違いし、違和感なくやり取りを続けてしまうことを狙っており、多くのメールを業務で扱う従業員にとっては気づきづらい攻撃といえます。
パターン2:好奇心を煽る「情報提供型」
メールの受信者の興味のある内容の文面により、リンクやマルウェア感染に誘導するパターンです。業務に限らず、普段の関心ごとやお金、人間関係など情報そのものが気になる内容となっていることが特徴となります。
普段目にすることの多い情報に紛れ込み、興味本位での行動がダメージに繋がる攻撃です。
パターン3:緊急性を演出する「システム通知型」
システムやアプリケーションなどであるかのようなメールを送ってくるのがシステム通知型というパターンです。「【緊急】パスワード変更の確認」「MS社製品アップデートのご案内」などシステムによって作られたメール文面に見せかけており、システムからの通知は人間が相手のメールと違い疑わずに、つい信じてしまう心理をついた攻撃といえます。
本物のシステムからの通知と混じってしまっている場合には非常に見分けが付けづらいです。
また、システムからの通知の硬質な文面に似せられていると判断がしづらいでしょう。
訓練メール作成と訓練成功のポイント
標的型訓練メールの内容について、上記のパターン以外にも注目すべきポイントがあります。
以下、訓練メール作成時のポイントとして、件名・文面、ドメイン、送信対象と分類別に紹介します。
件名・文面
件名・文面は受信者の興味を引き、開封してしまうような内容にしましょう。
テーマとしては、顧客からのメール、公的機関からのメール、新卒採用の応募者からのメールなどがあげられます。基本パターンを選択し、それに合った件名、文面としてください。
- 件名・文面作成のエッセンス
-
- 【緊急】【重要】【至急】で開封を急かす
- 顧客、就活生、公的機関など、知らない相手でも開かざるを得ない内容にする
- 賞与のお知らせ、講演依頼など、心当たりがなくても興味を引く内容にする
- IDやパスワードの期限切れや不正ログインなど実際にあり得る内容にする
見破るヒントを受信者に与えるなら、下記を含めてもよいでしょう。
- 見破るヒント
-
- その送信者にしては不適切な言い回し
- その他、不自然な日本語
- 日本語では使用されない漢字の使用(东京オフィス など)
近年では標的型攻撃メールの文面作成にも生成AIが利用されていると思われ、非常に精度が高いメールのケースもあるようです。
ドメイン
標的型攻撃メールの多くはなりすましです。送信元のメールアドレスには、実在の機関や社内/社外の関係者に似せたドメインを使用するのが一般的でしょう。ただし、法令や権利の侵害には十分注意しましょう。
- ドメインのエッセンス
-
- 実在の機関に似せたドメイン
- 社内ドメインで、自社社員を装った内容
見破るヒントとしては、下記が考えられます。
- 見破るヒント
-
- 公的機関なのにフリーアドレスで送信する
- 問い合わせ先や返信先をメール末尾に記載しない
- 差出人アドレスと文末署名を不一致にしておく
送信対象
送信対象も標的型攻撃メール訓練を成功させるために考慮すべき内容です。
部署によって開封しなければならないメール内容も異なります。また、職位によってもメール開封への責任感は異なってきます。業務上、メールのやりとりを頻繁にする部署とそうでない部署で訓練の頻度を変える、ということも検討しましょう。
こうしたことを踏まえて、標的型攻撃メール訓練をしっかり効果のあるものにしましょう。
攻撃の手口
標的型攻撃メールの主な手口を踏まえて、メールの文面と組み合わせて訓練のメールは完成します。基本的な手口としては下記があげられるでしょう。
- メールに添付したファイルからマルウェアへ感染させる
- メール本文内のリンクから、悪意のあるURLへ誘導する
- フィッシングサイトへ誘導し、情報を詐取する
また、標的型攻撃メールの手口も進歩が著しく、近年の攻撃手口として下記の訓練メールも検討してみましょう。
- 先に問い合わせのメールのやり取りを行い、その後フィッシングメールを送付する
- Emotet(※)感染を企図してファイルを添付したメール
- ヘルプファイル(※※)を添付した攻撃メール
- QRコードを利用したクイッシング
※Emotet:「メールアカウントやメールデータなどの情報窃取に加え、更に他のウイルスへの二次感染のために悪用されるウイルス」
※※ヘルプファイル:「Windows環境において、HTML形式で表示されるヘルプに用いられるファイル」
引用:Emotet(エモテット)関連情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
引用:ヘルプファイルを悪用した攻撃メール攻撃手口と注意点 IPA 独立行政法人 情報処理推進機構
【そのまま使える】標的型攻撃メール訓練のサンプル文例
以下では各パターンごとにサンプル文例を紹介します。紹介するサンプル内の名前にあたる部分などは適宜変更し、テンプレートとしてご利用ください。
パターン1:業務に関連する「なりすまし型」
タイトル
RE:XXXX社向け製品の2025/10月発注の件
本文
いつもお世話になっております。
掲題の件、XXXX社より連絡があり数量を変更したいとのことです。
詳細は添付のファイルを参照いただき、対応の可否についてご連絡を頂けるようお願いいたします。
以上、よろしくお願いいたします。
この文例のポイント
実際のやり取りに対し、返信の体裁をとり信ぴょう性を高めています。また、可能であればメールの受信者の実業務を調べることで、より精度の高い訓練が可能です。
パターン2:好奇心を煽る「情報提供型」
タイトル
【お知らせ】給付金の申請と配布につきまして
本文
XXXX県●●事業部よりご連絡です。
この度、XXXX県在住の方に向けて予定している給付金について、対象の可能性がある方に向けてメールを送っております。対象の方は、本メールへの返信にて申請をお願いいたします。
詳しくは添付ファイルのリンクから。
この文例のポイント
受信者にとって興味のある内容の文面で誘導しています。送信元が公的機関になりすましているケースについての訓練も兼ねることが可能です。
パターン3:緊急性を演出する「システム通知型」
タイトル
MicroS@ft社からのWind@wsUpdateに関するお知らせ【緊急】
本文
MicroS@ftWind@wsをご利用の皆様へ
平素は当社のWind@wsをご利用いただきありがとうございます。
2025/XX/XX、内蔵するファイアウォール機能において脆弱性が発見されました。
お手数をおかけしますが、下記リンクより更新頂けるようお願いいたします。https://MicroS@ft.Wind@ws.com/Security/Update
この文例のポイント
実在の企業、製品に関する更新情報に見せかけ、反応してしまうかどうかを訓練します。文面では企業名やソフトウェア名は架空にしていますが、自社で利用している実在の製品に置き換えることで、より精度の高い訓練とすることができます。
標的型攻撃メール訓練の文例作成に利用できる資料集
上記サンプルに加えて、標的型攻撃メール訓練のメールを作成するうえで参考になる資料をご紹介します。
標的型攻撃メール 事例・サンプル集(LRM株式会社)
情報セキュリティを専門に、認証取得コンサルティングや、「人」の情報セキュリティ対策を強化するクラウドツール「セキュリオ」の提供をしているLRM株式会社のノウハウが詰まった資料です。
実際にあった標的型攻撃メールの事例・文面の中から教育的価値の高いものをご紹介しています。 セキュリティご担当者様必携です!
ビジネスメール詐欺の事例集を見る|IPA 情報処理推進機構
IPA情報処理推進機構で確認済みのビジネスメール詐欺の事例が紹介されています。
ビジネスメール詐欺とは、読んで字のごとく、ビジネスメールを装ったメールによる詐欺で、標的型攻撃メールの一種です。複数の事例に詳細なレポートが記されていますので、かなり参考になります。
フィッシング対策協議会ホームページ
実在の企業を語ったフィッシングメールの件名・文面例が掲載されています。やや消費者向けの内容にはなりますが、企業へ向けたフィッシングも十分注意が必要ですので、フィッシング形式の標的型攻撃メール訓練を実施する際には参考にしてください。
サイバー警察局|警視庁Webサイト
警視庁に寄せられたサイバー攻撃の内容や、「サイバー警察局便り」と称した注意喚起が掲載されています。直接的な参考にはならないかもしれませんが、サイバー攻撃の情勢が広く把握できるため、訓練実施の際のテーマ決めのヒントや他のセキュリティ対策にお役立ていただけます。
効果的な訓練メールを自作するために
標的型攻撃メールの訓練の実施には、文面の作成に加え実施のための環境を整える必要があります。訓練のためのサービスを利用することで、実施はしやすくなりますがコストが必要です。
このコストを抑えるための方法として、標的型攻撃メール訓練の自作が考えられます。以下の記事では、無料で使えるGophishというツールを利用した手順などを紹介していますので、こちらもご参照ください。
訓練だけでは不十分?多層防御の重要性
サイバー脅威に対して、訓練による人的セキュリティ対策の向上は重要です。しかし、システムや環境などの仕組みでのセキュリティ対策とは補完関係にあるため、両者を組み合わせて総合的なセキュリティを確保しなければなりません。また、サイバー攻撃については侵入防御、出口対策、内部対策と多層防御が必要とされます。
広範にわたるセキュリティ対策について、LRMではコンサルティングサービスを提供しています。まずは無料のご相談から。
文面作成で困らない!標的型攻撃メール訓練ならセキュリオ
LRMのご提供するセキュリティ教育クラウド「セキュリオ」では、14種類以上の豊富なテンプレートから文面を選び放題、もちろん、カスタマイズやオリジナルテンプレートの作成も可能です。
他にも、eラーニングや毎週配信のミニテストで従業員のセキュリティ意識・リテラシーを向上・維持することができます。
まずは無料でお試しください。
まとめ
本記事では、標的型攻撃メール訓練の文例について解説し、具体的なサンプルを紹介しました。
訓練実施では、トレンドやリアリティを求めたメール文面を作成することが効果に繋がります。訓練全体の仕組みは、セキュリティ教育クラウド「セキュリオ」などを利用することで効率的に準備が可能です。
