攻撃発動時の初動を徹底!標的型攻撃メール訓練の目的と内容

この記事は約7分で読めます。

標的型攻撃メールによる情報漏えい事案が国内でも起こっています。警察庁の発表によると、2020年に4,000件を超える標的型攻撃メールが確認されています。今までに被害を受けたことがなくても、万一に備えてメール訓練を検討してみませんか。今回は標的型攻撃メールの訓練の内容や選定ポイントを紹介します。

また、標的型攻撃メールの事例や見破るポイント、引っかかってしまった際の対応などをまとめた資料をご用意しております。ぜひこちらも併せて貴社での標的型攻撃メール対策にお役立てください。

標的型攻撃メールの定義を改めて確認

標的型攻撃メールとは綿密な調査と高度なテクニックを駆使し、メールで利用者をだまして機密情報を窃取しようとするものです。不特定多数を狙うスパムメールや迷惑メールと違い、標的型攻撃メールは特定の対象をターゲットとします。

手口は非常に巧妙で、ターゲットに馴染みのある組織や人物をかたったり、組織固有の連絡様式(メールテンプレや略語など)を用いて油断させ、メールを介してマルウェアに感染するよう仕向けます。

メールに限らず標的型攻撃全般において、攻撃対象を研究のうえ攻撃手法を個々に最適化して仕掛けてきます。無差別攻撃と違い、一般的なウイルス対策ソフトにおける既存の脅威データベースでは検知が困難なため非常にやっかいです。

続出する標的型攻撃メールの被害

警察庁が「サイバーインテリジェンス情報共有ネットワーク」を通じて把握したところでは、2020年に起きた「標的型メール攻撃」の特徴は以下のとおりでした(ここでいう「標的型メール攻撃」の定義は市販のウイルス対策ソフトでは検知不能な不正プログラムを添付したメールを指す)。

  • 発生件数 :4,119件
  • ばらまき型攻撃の割合 :全体の95%
  • ネットで非公開のアドレスに送信 :全体の75%
  • 送信元のメールアドレス偽装の疑い :全体の97%

典型的な手口は「電子メールの不正なリンクおよび/または添付ファイルの送付」「クリック操作によるマルウェア発動の誘導」です。ほかに近年ではスマホのSMS経由で不正アプリに誘導する手口がみられるとのことです。

詳しくは警察庁発表の広報資料『令和2年におけるサイバー空間をめぐる脅威の情勢等について』をご覧ください。

標的型攻撃メール訓練の目的

標的型攻撃メールに対する訓練の主だった目的は次のとおりです。

  • 特性の把握
  • 初動態勢の養成
  • リスクと課題の認識

標的型攻撃メールが各人の受信トレイに届いただけでは被害は起きません。従業員がメールの文言に誘導され操作することで、さまざまな被害が引き起こされるのです。まずは個々に脅威の認識と対処法を把握してもらい、訓練の実施結果をもとに組織的な対策の確立を目指します。

標的型攻撃メールの特性の把握

標的型攻撃メールのトリガーを引くのは組織で働くヒトです。まずは従業員に脅威の認識と万一の際の対処法を知ってもらうことで、標的型攻撃メールに対する抵抗力を養います。以下は知っておくと望ましい項目です。

標的型攻撃メールについて
  • 被害リスクの認識
  • 攻撃の手口
  • 被害リスクの回避方法
被害発生時の対処
  • 社内ルールに則った対応
  • 初期対応

標的型攻撃メールの訓練にあたり、事前研修と本訓練の日程を周知し実施するのがベターです。なぜなら訓練メールが無視または放置されると訓練の意味がないからです。あらかじめ標的型攻撃メールに関する研修と、訓練メールの配信日の事前周知を行い、訓練を実効性のあるものにすべきです。

なお、訓練日程を事前周知するのは、本物の攻撃メールと誤認され、ネットワーク切断や端末の利用不能による業務停止を避けるためです。

初動手順の定着

万一標的型攻撃メールが届いても初期対応さえ適切にできれば、リスクを回避したり、被害拡大を食い止めることもできます。模擬メールを使った本訓練では従業員の個々の対応力と初動体制の確認を主眼とします。

一般に標的型攻撃メールの訓練で重視されるのがメール開封率の低さです。重要な指標ではありますが、昨今の標的型攻撃メールは企業の業務実態を反映した紛らわしいメールもあり、判断が困難になっています。現実的には危険メールの開封を想定し、初期対応も含めた訓練を実施すべきでしょう。

企業のIT運用の形態はさまざまですが、関係者全員がこういった脅威発生時の対応フローを確実に実行できるよう、訓練の設計・展開ができると理想的です。

リスクと課題の明確化

本訓練の実施とデータ収集、報告完了でよしとせず、標的型攻撃メールに対する組織的な耐性向上につなげられるとベターです。

次にあげるような訓練後の評価と改善活動を行えるといいでしょう。

  • 運用ルールや役割分担の精査
  • 現場に潜むリスクと課題の洗い出し
  • 改善案の策定

これによって、より組織の実情に即した対策が立てられるようになり、いざというときの対応やリスク抑止に役立てられます。

標的型攻撃メール訓練の内容

現在、複数の事業者により標的型攻撃メール訓練のサービスが提供されています。ここでは、こういったサービスの構成の一例を紹介します。

標的型攻撃メールに関する座学研修

訓練実施に先立って、標的型攻撃メールの概要やリスク、対処法の基本的な知識を習得します。ITセキュリティの教材コンテンツの視聴と理解度チェックを実施できます。研修用教材はeラーニングシステムの形態で提供されることが多いです。管理者は受講対象者の進捗具合を把握でき、履修漏れの管理ができます。

標的型攻撃メールの模擬訓練

訓練では模擬メールを作成し、対象者に配信します。訓練サービスでは専用のテンプレートが複数用意されており、自社用にカスタムして活用もできます。訓練を意味あるものにするには、始めから難易度を高くしないほうがいいでしょう。さらに自社業務との関連性を踏まえ、誤って開封する可能性が起きそうな件名や差出人、本文内容の構成となるよう工夫します。

模擬訓練システムではメールの配信結果の集計とレポーティング機能を利用でき、個人ごとや部署などのグループ別の結果確認も可能です。

標的型攻撃メール訓練サービスの選定ポイント

標的型攻撃メール訓練サービスは以下にあげる点を考慮して検討しましょう。

社内教育の必要性

企業のITセキュリティはネットワークやシステム運用など多岐にわたります。したがって標的型攻撃メール訓練のような専門的なサービスでは、訓練のみを提供するタイプが多いです。訓練実施が初めてだったり、新入社員用の導入研修の一環で行う場合は、教材つきのサービスの選択が望ましいです。既存の教育システムで代替するなど、教材が不要であれば訓練サービスのみの選択でもいいでしょう。

専門サポートの有無

標的型攻撃メール訓練サービスがあれば、メール訓練の計画・実施は比較的容易に行えます。ただ、訓練をより有益なものにするため、セキュリティ分野に知見のある専門家のサポートを受けるのもいいでしょう。

訓練サービスの多くのベンダーがオプションとして訓練に関するアドバイスや支援サービスを提供しています。訓練の設計から模擬メールの文面作成、結果の分析まで、初めてでも相談できる機会があると安心です。

複数回の訓練実施を想定しているか

標的型攻撃メールの訓練は一度きりでは実践力の組織的な定着が望めません。訓練を頻回に行う必要はありませんが、一定の頃合いをみつつ、複数回以上の継続的な実施に努めましょう。そのため、料金体系が単回実施でなく、複数回の訓練実施を考慮したものであるかも要チェックです。テンプレートを組み合わせて訓練を実施するクラウド型なら比較的安価に済ませられるのでおすすめです。

まとめ

標的型攻撃メールの訓練を実施しておくと、個々の従業員はもとより組織的な抵抗力を高められます。万一の際の対処を確認しておくことで、被害を最小限に抑える効果も期待できます。サポートサービスもうまく活用し、自社のセキュリティを確実に高めていきましょう。

また、弊社では、標的型攻撃メール訓練機能eラーニング機能など10種類以上のセキュリティ機能で貴社のセキュリティ対策に貢献する情報セキュリティ向上クラウド『Seculio』をご提供しています。

14日間の無料トライアルもございますので、ぜひご検討いただけますと幸いです。

情報セキュリティ対策サイバー攻撃対策
タイトルとURLをコピーしました