標的型攻撃メール訓練について

訓練をおこなったことがない組織、企業、会社、グループなどは絶対やったほうがいいです。やるかやらないかで言えば、チェックという意味でやらない選択肢がないと思います。(書き手って二重否定を自然と使っちゃいますよね反省。「やりましょう！」です。)

それでは、まずは結論から…。

結論
1. 「えっ？約4分の1感染してんじゃん！？」っと思った方へ
目的は現状把握
1. 目的は達成されました
訓練したいけど、じゃあどうすればいいの？
基本的な流れ
1. 基本的な流れは3段階だけです
2. 訓練の流れは業者やツールによっては細かい設定があるかもしれません。
後日アンケート、みんなの反応
1. 「攻撃メールであることに気づきましたか？」
訓練後について
次回に向けて
気付いたこと
最後に

結論

ある組織が初めて標的型攻撃メール訓練を行った結果、社員の25%が添付ファイルを開き、URLリンクをクリックすることがわかりました。

ごめんなさい、うそです。正確には23.45%です。

「えっ？約4分の1感染してんじゃん！？」っと思った方へ

初めて標的型攻撃メール訓練をおこなった組織に対して、この数字を高いと見るか低いと見るかではなく、「現状こうです」とわかることが大事です。

組織の防御力を上げるための次への一歩だと思っています。

ちなみに…告白すると、開封率が上がってしまうような少しいじわるな内容の攻撃メールだった気がします。よーく見て見ると、内部の人しか知らない情報がメールの中にチラっとありました。

例えば、組織の情報担当者が「スズキ」さんだとしましょう。攻撃メールの内容をざっくり言うと「スズキさんが、セキュリティ強化のためにみなさんパスワード変えましょう」という攻撃メールでした。

もちろんほんとの攻撃者が情報担当(送信者)をランダムでスズキさんにすることはあるかもしれません。たまたまそんなことがあるかもです。

ただ、訓練にしてはなかなかクリックしてしまう要因だと思いませんか苦笑？。そういうやり方もアリだと思いますけどね。

最終的にはいじわるな偽攻撃メールでもクリックしないことが求められますね！

目的は現状把握

先にも記述しましたが、とにかく目的は「現状把握」です。むしろそれ以外は不要と言っても過言ではありません。最初の段階では欲張らずに目的を絞ったほうがいいです。

情報セキュリティにおいて、情報資産の棚卸し、開発コードや業務フローの確認にしても、現状を把握することはとても大事なことだと思います。

実際にメール訓練をおこなうまで、この組織はメール攻撃に対して、どのくらい？誰が？どんな行動をするのか？という具体的データを持っていませんでした。

逆に「このくらいかな～勘で。」という予想や、「みんな大丈夫だよな～」という期待を持つことは自由にできます。しかし、それは意味がありません。「ああ、トム・クルーズになりたいな～」という願望と同じくらい無駄なことです。

攻撃者としてはそのままでいてほしいと思っていることでしょう。だって意識低いほうがいいじゃないですか笑！？

目的は達成されました

開封率23.45%という具体的数字を知ることができました。これはとても大事なことです。「財布の中を知らずに高級すし店に入る人をどう思いますか？」ブラックカード所有の大金持ちか、はたまた…。

訓練したいけど、じゃあどうすればいいの？

Google検索「標的型攻撃メール訓練サービス」と調べればたくさん出てきます。

今回利用したとこは記載のご協力を得られず…読み手のみなさんごめんなさい。

各自、調べた結果で予算に応じて選択してみてください。

あとこんなものもありました。

Google検索「標的型攻撃メール訓練セルフ」

すべて業者に任せっきりではなく環境だけ準備してもらい、あとは勝手にどうぞ！みたいな。

基本的な流れ

基本的な流れは3段階だけです

業者かツールの選択が終われば…

メール配信リスト用意して
攻撃システムからメール配信して
しばらく待つ（ざわついてから数日放置。）

…という流れです。

「こんなメール来たんだけど」の報告に対しては、素直に「訓練です。周りには内緒に！」でもいいですし、「確認します！」という演技のどちらでもいいです。

訓練の流れは業者やツールによっては細かい設定があるかもしれません。

メールの配信パターンはどうしますか？
どのような形式にしますか？
URLにしますか？添付ファイルにしますか？
事前教育はしますか？
後日アンケートはどうしますか？

とかです。

今回利用したところはかなり面倒でした…笑。次回はもっとシンプルな業者、またはツールやシステムを探したいです。

後日アンケート、みんなの反応

「攻撃メールであることに気づきましたか？」

はい

明らかに不審だったため（メールアドレス、URLへの誘導、署名なし）。
署名がない、アドレス帳に登録されている名前ではない、@の後が知らないドメイン。
怪しいと思ったので該当部署へ報告した。

いいえ

社内の人からだと思い、しっかりメールアドレスを見ていなかったため。
他の業務中に開いた為、細部まで気が回らなかった。
部署内でここで怪しいと思ったことを共有し確認し合ったため。

訓練後について

まずは開封率23.45%という数字を受け止める
この数字を0%に近づける対策を考える
再度、訓練をやってみる
PDCAを回す

標的型攻撃メール訓練に限らず、情報セキュリティはまさにPDCAサイクルの鬼です。

そこで弊害になるのが「社内文化」と言ったところでしょうか？個人的にはそう思います。

役職や長期勤務による権限集中、トップダウンの性質、話し合いの文化が全くないなどが挙げられます。「報告」という意味の会議は話し合いではないので、はっきり言ってXXです。

次回に向けて

事前教育しますか？

今回、事前教育は行いませんでした。

事前教育とは、文字通り訓練前に「世の中には標的型攻撃メールというサイバー攻撃がある」という講座をしたり、資料を送ったり、組織内に周知するものです。「みんな気を付けよう！」ってことですね。そのあとに訓練をします。

いやいや、何も教えずにやったほうがいいでしょ！！と思った方へ。

私も一番最初はそう思いました。しかし「会社の防御力を上げる手段があるならなんでもやる」っていうのがポリシーです。それは実際数字に表れますから。正直どっちでもいいです。

訓練の目的を変更する

あと、2度3度訓練をおこなうのであれば目的を変えてもいいと思います。例えばこんな感じです。

メール判別までが目的
メール判別をして適切な報告をもらうまでが目的

定期的より不定期訓練？

短期間に連続でやってもいいのかなと思いました。いつくるかわからない本当の攻撃を想定する。

担当者も知らない訓練は訓練？

担当者の一部に訓練計画自体を内緒にして、いつくるかわからない本当の攻撃を想定する。

以上のように攻撃者としての視点が芽生えてきます。ブラックハットをかぶってはいけませんよ笑！

気付いたこと

訓練目的が「パートナーのメール判別能力」とします。訓練計画を知っている私たち担当者は正直なところメールを配信してしまえば、それ以上やることはないと言っても過言ではありません。

しかし、私は気付きました。

「本当に標的型攻撃メールが来たときに、マルウェア感染が広まってしまったときに、私達は本当に適切な行動や対処ができるのでしょうか？」

いつのまにか自分たちの訓練にもなっていました。

最後に

訓練を実施することで会社の防御力を上げる取り組みのきっかけになると思います。

さてここで質問です。

「みなさんの組織では開封率は何%ですか？」