標的型攻撃メールへの訓練を自作する方法|ツールや注意点まで徹底解説

この記事は約11分で読めます。
2023.07.26

最恐のマルウェアとも名高いEmotetの脅威も続き、AIをはじめとしたテクノロジーでサイバー攻撃手法も巧妙化が進んでいます。
また、ランサムウェアによる企業や組織の被害も広がっており、これらのサイバー攻撃の端緒となる標的型攻撃メール対策は最早マストの施策です。

対策の中でも、実践的で効果が高く、一般の従業員の意識醸成にも役立つ標的型攻撃メール訓練は多くの企業、組織で実施されています。

ただし、標的型攻撃メール訓練の実施には、仕組みの構築や送信するメールの文面の用意などのためにコストが必要となります
このコストを抑えるべく、標的型攻撃メール訓練の自作を検討している場合もあるでしょう。

本記事では、そんな標的型攻撃メール訓練を無料ツールを用いて自作する方法について、訓練の概要から準備する手順、メリットと注意点などについて解説します。

また、標的型攻撃メール訓練実施の際に使える標的型攻撃メール訓練 事例・サンプル集を無料で配布しています。ぜひご活用ください。

標的型攻撃メール 事例・サンプル集
ほんとうの実例から見破り方を知ろう

標的型攻撃メールについておさらい

はじめに、標的型攻撃メールについておさらいしておきましょう。

標的型攻撃とは、攻撃者が機密情報の詐取などを目的として、特定の個人・組織をターゲットに行うサイバー攻撃です。その中でもメールを利用したものが標的型攻撃メールです。

特定の個人・組織をターゲットに、という点が重要で、攻撃者は、ソーシャルエンジニアリング的手法や関連人物・組織を経由してターゲットの情報を事前に調査し、ターゲットに関係のある内容やターゲットが思わず開封・クリックしてしまうような文面のメールを送信します。さらには、メールの送信元を偽り、実在の人物組織になりすますことも多々あります

また、標的型攻撃メールの添付ファイルの開封や記載URLのクリックを行った場合、マルウェアに感染し、端末内や社内のサーバー全体が危険にさらされてしまいます
そのため、企業においては組織に所属する全員が標的型攻撃メールを認識し、注意しておく必要があります。

IPAの「情報セキュリティ10大脅威 2025 [組織]」でも、機密情報等を狙った標的型攻撃は10年連続の10大脅威入りを果たしており、今後も継続して脅威であり続けることが予測されます。

標的型攻撃メール訓練の目的と概要

標的型攻撃メール訓練を実施する目的は、厳密には企業や組織によって様々ですが、大きく分けると下記の3点です。

  • 標的型攻撃メールの特性の把握
  • 初動手順の定着
  • リスクと課題の明確化

標的型攻撃メール訓練について詳しく知りたい方は、こちらを覗いてみてください。

効果につながる標的型攻撃メール訓練
「セキュリオ」を無料ではじめる

訓練実施の主な狙い

先述の通り、標的型攻撃メールは特定の個人や組織をターゲットにして、巧妙に情報窃取を狙う攻撃です。

技術的な対策として、危険なメールを受信しないようにするメールフィルタリングなどもあります。しかし、そうしたツールをすり抜けるような攻撃手法が常に工夫されているため万全ではありません

最も確実な対策としては、従業員が悪意のあるリンクや添付ファイルを見分け、不審なメールに対する警戒心を高めることです。(技術的対策に対し、これを人的対策と言います。)

さらに、訓練は対策の評価や弱点の特定にも役立ちます。
従業員がどれだけの割合で不正なメールに引っかかるのかを把握することで、セキュリティ対策の改善点を見つけ出すことができるのです。

標的型攻撃メール訓練を実施することは、情報セキュリティをより堅牢にするための重要な手段です。
従業員の意識向上やセキュリティ対策の強化につながり、最終的には企業や組織の情報資産を守ることにつながるのです

標的型攻撃メール訓練の全体像

そんな標的型攻撃メール訓練では、大きく分けて3段階で構成されます。

訓練の計画を立てる
訓練の目的の確率や、対策するべき攻撃メールの特性の把握、従業員への事前教育などを実施します。
送信準備
送信対象者を決定し、文面や送信ドメイン、URLや添付ファイルを用意します。
訓練実施・事後対応
訓練対象者にメールを送信し、受信者からの報告の確認やレポーティング、従業員への再教育を実施します。

こうした内容を適切に行わないと、標的型攻撃メールを防ぐことは困難です

「やりっ放しになってしまった」
「定期実施したら従業員が訓練慣れしてしまって訓練が形骸化している」
「高額なツールの導入で費用がかさんでしまう」等、
標的型攻撃メール訓練にまつわる悩みは数多く耳にします。

標的型攻撃メール訓練は自作できる?2つの主な方法

標的型攻撃メール訓練の実施方法として、以下の二つが考えられます。

  • 有償のサービスを使う
  • 無償のツールを使って自作する

一からすべてを自作するには、高い技術力や多くの労力が必要となります。
しかし、無償のツールを活用することで自作によるコスト削減を図ることが可能です。

以下では、無償のツールを使って標的型攻撃メール訓練の仕組み作りをすることを、自作として準備や手順を説明します。

自作するために必要な準備

標的型攻撃メール訓練で対策する脅威は幅が広く、企業ごとに対策する内容・範囲・対象も変わってきます。
一概にこれだけの準備が必要と言い切るのは難しいですが、以下に主に必要となる準備作業や環境を箇条書きで記載します。

  • メール訓練の目的と実施範囲の設定・リスティング
  • 訓練前教育の資料準備と訓練実施
  • 訓練用メール文面の作成
  • 訓練用Webサイトの作成
  • 訓練用添付ファイルの作成
  • メールを一斉送信するためのシステム設計
  • 従業員からの不審メール報告を受ける窓口の設置
  • 事後アンケート・教育の準備
  • 定期実施できる体制づくり
  • メール送信環境(SMTPサーバーなど)
  • 開封・クリックを計測するためのWebサーバー
  • SSL証明書
  • 訓練用のドメイン
  • オープンソースの訓練ツール(Gophishなど)

これだけたくさんの対応事項があり、中にはエンジニアの協力が必要な事項もあります。自作する場合には、これらを用意して取り組む必要があります。なお、メールの文面例については「標的型攻撃メール訓練 事例・サンプル集」も参照してみてください。

標的型攻撃メール 事例・サンプル集
ほんとうの実例から見破り方を知ろう

自作で標的型攻撃メール訓練を行うための全手順

実際に無料のツール「Gophish」を使って標的型攻撃メール訓練を実施する場合の手順を紹介します。

Gophishはオープンソースのツールキットで、フィッシングメールや標的型攻撃メールの訓練実施が可能です。無償で誰でも利用できるため、標的型攻撃メール訓練を自作する場合には効率化を図れるツールといえます。

ステップ1:必要なもの(環境)を準備する

Gophishを利用した標的型攻撃メール訓練では、下記の環境を準備する必要があります。

Go言語の実行環境

Gophishはプログラミング言語「Go」を用いて動作するツールです。従って、Go言語の実行環境の構築が必要となります。

Webサーバーの稼働環境

標的型攻撃メールの誘導先としてWebサイトを構築します。外部に向けて公開可能なWebサーバーが必要となります。

計測用のWebサイト

Gophishのテンプレートを用いたHTMLページや自作のWebページを用いて、メールの受信者のリアクションを計測します。精巧な攻撃を模した訓練を行いたい場合には、品質の高いサイトを用意する必要があります。

メールサーバー(SMTP)

標的型攻撃メールを送信するためのメールサーバー(SMTP)が必要となります。

SSL証明書

計測用のWebサイトをメール受信者に信頼させ、訓練用のシステムのセキュリティを確保するためにも、SSL証明書を用意して適用します。

ステップ2:訓練シナリオとメール文面を作成する

訓練のシナリオとして、「どのような標的型攻撃メールを受け、どのような対処を行うか」を定めておきましょう。

例えば、「業務上の取引相手を装ってフィッシングサイトに誘導し、社内システムのアカウントとパスワードの入力を引き出す攻撃を受ける」ことを想定します。
正しい対処としては、メールの送信者や文面などから判断し、リンクをクリックしない、リンクをクリックした場合にも誘導先のサイトにアカウント情報を入力しない、などになるでしょう。

また、想定する攻撃内容にあわせたメールの文面も用意しておきます。
本当にありそうな文面、受信者が騙されてしまいそうな内容にすることで訓練の難易度は変わってくるでしょう。

ステップ3:無料ツール(Gophish)を設定・実行する

標的型攻撃メール訓練の自作を効率的にするツールがGophishです。

利用するには、公式サイトGitHubからOSに合ったバージョンをダウンロードします。
2025年10月時点でWindows、Mac、Linuxに対応しています。
詳細な設定や利用手順は公式サイトのユーザーマニュアルを参照してご確認ください。

Gophishを利用して訓練を実施するためには、下記の流れで設定を行います。

  1. User & Group ・・・送信先グループ/メールアドレスを設定します
  2. Email Templates ・・・訓練に使用するメール文面を作成します
  3. Landing Pages ・・・URLクリック形式攻撃の場合の、表示ページの設定です
  4. Sending Profile ・・・送信するSMTPを設定します

設定後に、訓練のメールを送信し、結果を集計します。

Gophishの懸念点

ただし、Gophishの利用については、下記の懸念点もあります。

  • go言語の環境設定をできていることが前提
  • Gmailの不正メール検知に引っかかり、自動で除外されてしまう
  • 実際の攻撃にも使用されている可能性が指摘されており、利用に慎重な判断が求められる
  • テンプレートが無いので初めての訓練実施には難易度が高い

その他にも、無料ツール特有の懸念点(突然提供が終了してしまう可能性がある、サポートがない、日本語対応が不十分)も想定されます

Gophishをはじめとするオープンソースツールを利用する場合、すべて利用者の自己責任となり、不正な利用やトラブルが発生した場合、自社で全ての責任を負うことになります。

運用・管理には、専門知識を持つエンジニアの協力が不可欠であり、これらのリスクを避けるためには、サポート体制が整った有料サービスの検討が最も安全です。

有料ツールやサービスにもデモ版やトライアル版があります。
一定期間無料で利用できる場合が多いので、試しに使って比べてみるのがおすすめです。

ステップ4:訓練結果を分析し、レポートを作成する

Gophishの利用有無に関わらず、訓練は標的型攻撃メールを送信して終わりではありません。
結果の収集と分析を行い、洗い出された課題に対策を行うことが本来の目的といえます。

Gophishでは結果のレポート機能が提供されており、標的型攻撃メールの開封率、誘導したページでの操作などの集計を自動化できます。
しかし、そのレポートは有料ツールと比較して簡素であることが多く、詳細な分析や評価、従業員へのフィードバック資料の作成は、依然として担当者の人的リソースに依存します

レポートはツールの機能で効率的に作成し、本来標的型攻撃メール訓練で行いたかった目的である人的対策の強化にリソースを注力しましょう。

標的型攻撃メール訓練を自作するメリットと注意点

標的型攻撃メール訓練を自作して実施することには、メリットと注意点があります。自作するかを検討する際には、必ずご確認ください。

自作するメリット

訓練を自作する最も大きなメリットは、訓練にかかるコスト・費用を抑えることができることです。

有料のツールやサービスを利用して訓練を行った場合に月々発生する費用を抑えられることは、訓練の担当者や組織として優先事項の一つでしょう。
ただし、訓練実施にその分リソースが割かれることは認識しておく必要があります。

また、社内の状況に即した実施がしやすい、ということもメリットとして挙げられるかもしれません。
有料のツールやサービス利用の場合だと、決められたテンプレートやフレームワーク内での訓練実施になり、訓練が制限されてしまうこともあるかもしれません。
この点については、ツールやサービス選びの際にカスタマイズの利くものを選択することで解決できる場合が多いです。

自作する際の注意点

手順やメリットの項でも触れていますが、標的型攻撃メール訓練を自作する場合には注意しておくべき点が多々あります。

まず第一に、十分な技術力とリソースが必要です。

自作には、メール訓練の計画、設計、実施、および最適化といった各フェーズでの専門知識とスキルが求められます
さらに、セキュリティ対策の最新トレンドや攻撃手法の理解が不可欠です
標的型攻撃は常に進化しているため、自作する際には情報収集と継続的な学習が不可欠になります。技術的な知識としては、Gophishを利用する場合にはGo言語への一定の理解が必要です。

また、自作する際にはメールやリアクションの計測の仕組みなどに視線が行きがちですが、適切な評価と改善が欠かせません。
訓練の効果を定量的・定性的に評価し、改善点を特定して対策を強化することが重要です。

標的型攻撃メール訓練サービスの自作は、企業の情報セキュリティ向上に有効な手段ですが、上記の注意点を把握し、十分な準備と対策を行うことが求められます

自作の「面倒」を解決するなら『セキュリオ』

本文内で記載した通り、標的型攻撃メール訓練は自作が可能です。また、効率的に自作するための無料のツールも存在しています。

しかし、コストを抑えるために自作すると「面倒」が非常に多いです。
知識の習得や環境の構築など人的リソースは多く必要で、コストの削減につながるかは担当者次第になる場合も多いでしょう。

【自作の課題とセキュリオの解決策】

自作の課題点セキュリオの解決策
Go言語の知識・サーバー構築が必須環境構築は一切不要。
クラウドサービスのため、アカウント登録後すぐに利用可能。
訓練メールのテンプレートを自作豊富な文面・ドメインテンプレートが使い放題 。
最新の攻撃傾向を反映したテンプレートも定期的に更新。
結果分析・レポート作成に手間がかかる開封・クリック・報告状況を自動集計・グラフ化
詳細なレポートを自動作成し、担当者の分析・評価の負担を大幅に削減。

これらの課題をボタン一つで解決できるのが、当社の『セキュリオ』です。まずは無料のトライアルからお試しください。

セキュリオの標的型攻撃メール訓練は下記の特徴を備えており、スムーズに訓練をはじめることができます。

セキュリオの標的型攻撃メール訓練の特徴
  • 豊富な文面・ドメインテンプレートが使い放題
  • 送信数無制限
  • 多様なeラーニング教材が追加料金なしで使える
  • カスタマイズも可能

まずは無料ではじめましょう!

効果につながる標的型攻撃メール訓練
「セキュリオ」を無料ではじめる

まとめ

本記事では、標的型攻撃メール訓練を無料ツールを利用して自作する際の方法や注意点について解説しました。
コストの点で自作は非常に魅力的に見えますが、担当者に多くの知識が求められるなどの理由で容易ではありません。

標的型攻撃メール訓練は対応内容も多く、それでいて適切に実施して対策に繋げないと効果に結び付かない難しさがあります。
訓練の担当者はリソースを対策に振り分けられるように、訓練そのものは効率的に行うことが重要です。

自作するかしないか、無料/有料のツールやサービス利用も含めて検討したうえで、自社に合った訓練の実施につなげてください。

情報セキュリティ対策サイバー攻撃対策
セキュリオ標的型攻撃メールメールセキュリティ
情報セキュリティ教育クラウド「セキュリオ」
タイトルとURLをコピーしました