標的型攻撃メールとは、あらかじめ「どこの企業に迷惑メールを送り付けるのか」ターゲットを決めて、ウイルス付の迷惑メールを送り付ける形式のサイバー攻撃です。 

標的型攻撃メールから身を護るために、社内で迷惑メールの手口についての知識の共有を行い、いざというときの対処法を学ぶ「標的型攻撃メールの訓練」を定期的に行うことをおすすめします。 

当記事では、訓練の目的や方法、実施のポイントについてわかりやすくご紹介します。 

標的型攻撃メールを防ぐ訓練の目的

「迷惑メールやスパムメールと疑う件名のメールは開かない」「怪しいURLはクリックしない」などの、基本的な迷惑メール対策は皆さんご存じのことでしょう。重要な情報を盗み出すマルウェアに感染しないためにも、基本の迷惑メール対策は押さえておかなくてはなりません。 

しかし、標的型攻撃メールの手口は、「担当者を騙すためによく考えられている」ため、迷惑メール対処法の基本を押さえていても、うっかり迷惑メールを開いてしまうこともあります。 

そこで、最新の標的型攻撃メールに対応できるように訓練を行うことが大切です。 
標的型攻撃メールの「訓練の目的」について簡単にご紹介します。 

従業員のITリテラシー向上を目指す

標的型攻撃メールの訓練を行う上で、従業員のメール運用やWebサイトの閲覧に関する「ITリテラシー」の向上を目指すことが第一の目的です。 

メールやWebサイトの閲覧など、インターネットは業務に欠かせない便利なシステムですが、使い方を間違えると企業に損害を与えてしまいます。 

日頃から「メールからウイルスやマルウェアに感染する可能性がある」という意識を、従業員全員が持つために訓練を行いましょう。 

【ITリテラシーとは】 Webサイトの閲覧、メールの運用、ネットワークに関する知識など、インターネットを使いこなす能力のこと。 マルウェアの感染や情報漏えいなどの、インターネットを介するトラブルに巻き込まれないようにするために、インターネット利用に関する正しい知識を習得することが大切。

標的型攻撃メールの手口を知る

標的型攻撃メールの被害を退けるために、最新の迷惑メールの手口について、従業員全体で情報共有することも訓練の目的に含まれます。 

標的型攻撃メールは、企業の担当者を騙すために、手口について日々研究されています。昔の知識がいつまでも通用すると考えずに、最新の攻撃の手口について情報共有を行いましょう。 

標的型攻撃メールの送信者は、時代に合わせた話題を取り入れ、メール担当者が「開きたくなってしまうメール」を送りつけてきます。 

過去に行われた、代表的な標的型攻撃メールの手口はこちらです。過去の手口から学ぶこともありますので、参考になさってください。 

• 就職活動を装ったメール 
• 製品に関する問い合わせのメール 
• 注文書の送付メール 
• 取材の申し込みメール 
• 不正ログインのお知らせメール 
• アカウント情報変更のお知らせメール、など 

対処法を学ぶ

標的型攻撃メールを受信しても、開かなければ大抵の被害を抑えることができますが、手口が巧妙化しているため、被害を受けない可能性がないとは言い切れません。 

そこで、万が一被害を受けてしまった場合に備え、被害を拡大しないために素早い対処が大切です。標的型攻撃メールの訓練では「対処法」を学ぶ時間を設けましょう。 

実際にマルウェアに感染してしまった場合は、社内ネットワークやインターネットから切断する、上長に報告する、などの取るべき対処があります。 

標的型攻撃メール訓練の方法

標的型攻撃メール訓練は、外部に委託することもできますが、自分たちで工夫して行うことも可能です。 
訓練の方法についてご紹介しますので、訓練実施の際は参考になさってください。 

訓練実施の連絡を行う

まず、標的型攻撃メールの訓練を実施することを、メールや社内掲示板などで事前に告知します。 
告知なしで訓練を行うと「標的型攻撃メールが来た」とパニックになってしまうこともあるため、必ず告知しましょう。 

【告知の文章例】

標的型攻撃メールを受信してしまった時に、落ち着いて対応できるように訓練を行います。 従業員の皆様の、ITリテラシーの向上や最新知識の共有が目的です。 対象者の皆さんは必ずご参加ください。 メール送信日時：●●●●年●月●日　9時30分 ディスカッション実施日時：●●●●年●月●日　10時～（1時間を予定） 対象者：●●部（契約社員・パート社員・派遣社員も含む全メンバー） 【訓練実施内容】 ・事前に標的型攻撃メールに関する資料をお送りしますのでご確認ください ・訓練用に作成した「標的型攻撃メール」の送信を行いますので、適切に対応してください ・メール受信後にオンラインにてグループディスカッションを行います ・訓練後、アンケートにご協力お願いします 担当：■■部　▲▲（担当者名）

標的型攻撃メールに関する知識の共有

予備知識なしで訓練を行うことも可能ですが、訓練を実施する前に、標的型攻撃メールに関する知識の共有を行いましょう。 
資料で共有することもできますが、あえて時間を取り、グループディスカッションで共有することも効果的です。 

• 標的型攻撃メールの特徴 
• 主な被害 
• 会社や取引先への影響 
• 近日報道された事故事例の共有、など 

訓練を行う従業員たちに、「実際にどのような攻撃を受けるのか」「なぜ被害を防がなければならないのか」など、基本的な知識を共有することで、訓練に対して興味を持ってもらうことから始めます。 

標的型攻撃メール受信時のシミュレーション

訓練では、標的型攻撃メールを装った訓練のためのメールを送信します。 
件名や内容をよく読み、不審なメールに対して正しく対処できるのか疑似体験するためです。 

技術的に可能な場合、メールに以下のような仕組みを施すと効果的です。 

• メールに添付するデモサイトを作成する（簡単なページでOK） 
• メールに含まれるURLをクリックしたときに、ジャンプ先のサイトで警告が出るようにする 
• 添付ファイルを開封すると警告が出るようにする 
• メールに開封確認機能を設定する 

標的型攻撃メールは、件名で判断することで、メールを開封しないで削除することも可能です。 
このように、メールを開封しないケースも想定されるため、メールに開封確認機能をつけることで訓練後のフィードバックが行いやすくなります。 

被害に遭ってしまった時のシミュレーション

訓練では、被害に遭ってしまった時のシミュレーションも行います。 

標的型攻撃メールを開封してしまったと仮定して、添付ファイルを開けてしまった場合、URLをクリックしてしまった場合の対処についてシミュレーションを実施してください。 
その際は、社内ルールに従い、対応手順を確認しましょう。 

対応手順の例 

• すぐにネットワークを遮断する 
• システム担当者や上長に報告する 
• 周囲に連絡する 
• 取引先に連絡する 
• 使用したPCの初期化を行う 
• 自社サイトで報告、注意喚起を行う 

ミスなく対応することも大切ですが、ミスや不明点についてフィードバックを行うことも訓練のひとつです。訓練には、従業員全体のITリテラシーの向上のために、少人数のグループディスカッションの実施を含めることをおすすめします。 

アンケートやレポートの提出

標的型攻撃メール訓練が終了した際は、訓練の内容がどのくらい理解できたのか、従業員の理解度を知るためにアンケートやレポートの提出をお願いしましょう。 

アンケートやレポートの内容を踏まえ、理解度が低い従業員がいる場合は個別のフィードバックを行います。 

訓練実施のポイント

標的型攻撃メールの訓練は、ただ標的型攻撃メールを装ったメールを送るだけでは得られる効果も薄くなります。 
充実した訓練を行うためには、社内ルールの見直しや、メールの内容に工夫が必要です。 
訓練実施のポイントをまとめましたので、実施の際の参考になさってください。 

経済産業省のガイドラインを参考にする

標的型攻撃メールの対策をする上で、社内のルール作りが重要です。メールやインターネットセキュリティに関する社内ルールがない場合は、訓練前に作成します。 

なぜサイバーセキュリティが大切なのか、どのように被害状況を報告すべきかわからない場合、経済産業省が、セキュリティに関するガイドラインや資料を配布していますので参考にしましょう。問題を明確にすることで、どのような訓練を実施すればいいのかわかります。 

経済産業省：サイバーセキュリティ経営ガイドラインと支援ツール 

シミュレーションに使用するメールの内容

シミュレーションに使用する訓練メールは、メールを開封するかしないか悩む内容にしましょう。 

• 「開けなくてはいけないのかな？」と思わせるような差出人名にする 
• 件名に「重要」「緊急」などの文言をつける 
• URLではないテキストにリンクを貼り、URLでサイトの安全性を判断させない 
• 若干日本語に間違いがある文面にする、など 

標的型攻撃メールには、大手企業や公的機関を語り、信頼できる相手からのメールを装いつつ、本文を読むと海外から発信された日本語に間違いがあるメールが多々見られます。 

巧妙に作られているようで、よく見ると疑いを持つような件名や文面でメールを作成することが大切です。 

文章に悩む場合、警視庁のサイバー犯罪対策プロジェクトでも紹介している「日本サイバー犯罪センター」の脅威情報から、メールの具体例を見ることができますので参考になさってください。 

日本サイバー犯罪センター：脅威具体例

難易度を分けてシミュレーションを行う

従業員のITリテラシーのレベルに応じて、難易度を分けてシミュレーションを行うことも大切です。 

まずは、簡単に迷惑メールだとわかるメールを使用して、シミュレーションを行いましょう。 
簡単なメールの見分けがつくようになったら、メールの内容を実際の標的型攻撃メールの内容に近づけて難易度の高い訓練を行います。 

自社で細かい訓練が難しい場合は、外部委託による訓練を行うことも可能です。 

定期的な訓練とセキュリティ対策で攻撃に備える

標的型攻撃メールは、特定の企業や団体を狙ったサイバー攻撃です。メールや不正なサイトを通してマルウェアに感染することで、顧客情報や重要な機密情報の流出につながるため、慎重な対策が求められます。 

セキュリティソフトの導入はもちろん、標的型攻撃メールの手口は日々研究されているため、定期的に訓練を行いサイバー攻撃に備えることが大切です。 

標的型攻撃メールへのセキュリティ対策にお悩みの方は、サイバーウェイブジャパンにご相談ください。 
弊社では、セキュリティを考慮した数々のクラウドサービスを提供しておりますが、添付ファイルからのウイルス感染対策におすすめのサービスは「Mail File Link」（メールファイルリンク）です。 

お問い合わせはこちら

この記事のポイント

• 1:標的型攻撃メール訓練の目的は？

  企業にさまざまな被害をもたらす標的型攻撃メールの訓練の目的は、従業員のITリテラシー向上を目指し、標的型攻撃メールの手口を知り、対処法を学ぶことです。
  定期的に訓練を行い、最新の手口に対応できるようにします。

  詳しくは「標的型攻撃メールの訓練の目的」をご覧ください。

• 2:標的型攻撃メール訓練のやり方は？

  標的型攻撃メール訓練を実施する方法は以下の通りです。

  • 訓練実施の連絡を行う
  • 標的型攻撃メールに関する知識の共有を行う
  • メール受信のシミュレーションを行う
  • 被害に遭ってしまった時のシミュレーションを行う
  • アンケートやレポートの提出を行う

  各方法の詳細は「標的型攻撃メール訓練の方法」をご覧ください。

  メールの添付ファイル開封によるマルウェア感染対策をお探しの方は、サイバーウェイブジャパンのMail File Linkの導入をおすすめします。