第4回 まじめに考察してみよう - 標的型攻撃メール訓練やってみた -
自社の標的型攻撃メール訓練ソリューション『SYMPROBUS Targeted Mail Training』で実施した社内訓練体験談の最終回。今回は、訓練を通じて見えてきた”個人ができる有効な対策”についてお話していきたいと思います。
こんにちは。情報システム室のF島です。
アクモスの社内システム運用管理を担当しています。
情シスの立場から、弊社の標的型攻撃メール訓練ソリューション「SYMPROBUS Targeted Mail Training」で初めて社内訓練を実施したときの体験談をお届けします。
最終回となる今回は、メール訓練を通じて、どのような対策が有効なのか検討した結果をお伝えしたいと思います。
(関連記事:第3回 その時社内に何が起こったか(後編) - 標的型攻撃メール訓練やってみた - )
アクモスの社内システム運用管理を担当しています。
情シスの立場から、弊社の標的型攻撃メール訓練ソリューション「SYMPROBUS Targeted Mail Training」で初めて社内訓練を実施したときの体験談をお届けします。
最終回となる今回は、メール訓練を通じて、どのような対策が有効なのか検討した結果をお伝えしたいと思います。
(関連記事:第3回 その時社内に何が起こったか(後編) - 標的型攻撃メール訓練やってみた - )
①よくある不正メール対策
不正メール対策として「怪しいメールは開かない」「怪しい添付ファイルは開かない」とよく言われています。でも、怪しいメールを開く人は、そうはいないでしょう。特に、標的型攻撃メールは一見すると「怪しくないメール」であったりするため、「怪しいメール」に気を取られていると引っかかってしまうかもしれません。
ITソリューションとしては、サンドボックスを設置したり、メール無害化対策を行ったりというものがありますが、ここでは個人ができる対策に絞ります。
ITソリューションとしては、サンドボックスを設置したり、メール無害化対策を行ったりというものがありますが、ここでは個人ができる対策に絞ります。
②個人ができること
A:周知・問い合わせをする
今回の訓練で効果的であったのが、メールを不審に思った人が、送信元(と思われる人)に確認し、周りの人に周知したことです。同じフロアで作業していた人で、メールに引っかかった人はいませんでした。
問い合わせ先がわからないのであれば、情シスやセキュリティ部門に確認依頼するのもいいでしょう。グループウェアを導入しているのであれば、掲示板などで周知するのも有効と思われます。そうすることによって、自分では気づかなかった人でも、被害に遭う確率は低くなるでしょう。
B:普段からきちんとしたメールを作成する
メールを作成するときは、「きちんとした」メールを作成するようにしましょう。
「きちんとした」メールというのは、
・差出人を正しく設定しておく(社名、氏名)
・件名をわかりやすく(「連絡事項」とかはダメ)
・メール本文には、メールの宛先および送信者を書く
・署名を入れる
等の要素が挙げられます。
今回引っかかった人は、これら要素を守っておらず、本文に「○○送るんでよろしく」等の用件だけをざっくりとしか書かない、「雑な」メールを送っている人が多かったように思います。
普段から自分で「きちんとした」メールを作成していれば、不正メールに気づきやすくなるものと思います。
C:メール単独で判断せず、業務の流れを考える
弊社の場合、総務から全社員宛てへの情報連絡は、グループウェアの掲示板を使用しています。そのため、今回の訓練にあるような、全社員に同じ内容のメールを一斉送信するということはありません。
また、標的型攻撃メールには、取引先を装ったメールもあります。たとえば、普段メールで請求書を送付しないような取引先が、急に添付ファイルで請求書を送ってきたとなると、これは怪しいと思うわけです。
メールはあくまで業務フローの一部として意識していると、その流れがおかしいときに違和感を感じとることができるでしょう。
D:事前になんらかの手段で、メール送付を知らせる
総務からの一斉送信メールはありませんが、システムから全社員宛てのメール(たとえば、給与明細等)を一斉送信することはあります。その際には、事前にグループウェアの掲示板にて、「○月○日に、□□メールが送付されます」と予告をするようになりました。
メールを一斉送信する場合は、事前に予告しておくことによって、受け取る側は安心できるでしょう。
今回の訓練で効果的であったのが、メールを不審に思った人が、送信元(と思われる人)に確認し、周りの人に周知したことです。同じフロアで作業していた人で、メールに引っかかった人はいませんでした。
問い合わせ先がわからないのであれば、情シスやセキュリティ部門に確認依頼するのもいいでしょう。グループウェアを導入しているのであれば、掲示板などで周知するのも有効と思われます。そうすることによって、自分では気づかなかった人でも、被害に遭う確率は低くなるでしょう。
B:普段からきちんとしたメールを作成する
メールを作成するときは、「きちんとした」メールを作成するようにしましょう。
「きちんとした」メールというのは、
・差出人を正しく設定しておく(社名、氏名)
・件名をわかりやすく(「連絡事項」とかはダメ)
・メール本文には、メールの宛先および送信者を書く
・署名を入れる
等の要素が挙げられます。
今回引っかかった人は、これら要素を守っておらず、本文に「○○送るんでよろしく」等の用件だけをざっくりとしか書かない、「雑な」メールを送っている人が多かったように思います。
普段から自分で「きちんとした」メールを作成していれば、不正メールに気づきやすくなるものと思います。
C:メール単独で判断せず、業務の流れを考える
弊社の場合、総務から全社員宛てへの情報連絡は、グループウェアの掲示板を使用しています。そのため、今回の訓練にあるような、全社員に同じ内容のメールを一斉送信するということはありません。
また、標的型攻撃メールには、取引先を装ったメールもあります。たとえば、普段メールで請求書を送付しないような取引先が、急に添付ファイルで請求書を送ってきたとなると、これは怪しいと思うわけです。
メールはあくまで業務フローの一部として意識していると、その流れがおかしいときに違和感を感じとることができるでしょう。
D:事前になんらかの手段で、メール送付を知らせる
総務からの一斉送信メールはありませんが、システムから全社員宛てのメール(たとえば、給与明細等)を一斉送信することはあります。その際には、事前にグループウェアの掲示板にて、「○月○日に、□□メールが送付されます」と予告をするようになりました。
メールを一斉送信する場合は、事前に予告しておくことによって、受け取る側は安心できるでしょう。
③まとめ
標的型攻撃メール訓練を行ったことで、個人としてできる対策も見えてきました。
標的型メール攻撃に対するリスクを下げるには、ITソリューションに頼るだけでなく、各個人の意識改革をすることも大切であり、そのためには普段から訓練を行うことが有効であると思います。
標的型メール攻撃に対するリスクを下げるには、ITソリューションに頼るだけでなく、各個人の意識改革をすることも大切であり、そのためには普段から訓練を行うことが有効であると思います。
④後日談
後日、訓練で引っかかった別の事業所のC太さんから、電話がかかってきました。
C太 「おまえ、こないだの訓練って知ってたんじゃないかよ!」
情シス「知ってましたよ」
C太 「なんで言ってくれないんだよー!」
情シス「言ったら訓練にならないじゃないですか」
C太 「どうりで態度がなんか不自然だと思ったんだよ!」
情シス「(え・・?)いや、こちらも知らないふりするの大変だったんですから・・」
次回訓練のときまでには、演技力を磨いておこうと、心に誓ったのでありました。
ここまでお付き合いいただき誠にありがとうございました。気がかりな点等がございましたらお気軽にご相談ください。
C太 「おまえ、こないだの訓練って知ってたんじゃないかよ!」 情シス「知ってましたよ」C太 「なんで言ってくれないんだよー!」 情シス「言ったら訓練にならないじゃないですか」C太 「どうりで態度がなんか不自然だと思ったんだよ!」 情シス「(え・・?)いや、こちらも知らないふりするの大変だったんですから・・」次回訓練のときまでには、演技力を磨いておこうと、心に誓ったのでありました。
ここまでお付き合いいただき誠にありがとうございました。気がかりな点等がございましたらお気軽にご相談ください。
『SYMPROBUS Targeted Mail Training』紹介動画
(担当:情報システム室 F島)
標的型攻撃メールを防ぐためには「訓練」を!
関連記事:『標的型攻撃メール訓練やってみた 』(全4回)
第1回 まずは準備をしよう
第2回 その時社内に何が起こったか(前編)
第3回 その時社内に何が起こったか(後編)
(担当:情報システム室 F島)
標的型攻撃メールを防ぐためには「訓練」を!
関連記事:『標的型攻撃メール訓練やってみた 』(全4回)
第1回 まずは準備をしよう
第2回 その時社内に何が起こったか(前編)
第3回 その時社内に何が起こったか(後編)
標的型攻撃メールを防ぐためには「訓練」を!
関連記事:『標的型攻撃メール訓練やってみた 』(全4回)
第1回 まずは準備をしよう
第2回 その時社内に何が起こったか(前編)
第3回 その時社内に何が起こったか(後編)
