DXコラム

2024.09.09

標的型攻撃メールの訓練を実施しました!

こんにちは、ペンネーム・傾奇者と申します。
今回は、セキュリティ対策の一環で弊社で実施した「標的型攻撃メール」の訓練について、どのような仕組みで訓練を行ったのかという観点から記載したいと思います。

 

1.実施内容

システム部門を装い、急いでWindowsアップデートを実施してほしいという内容のメールを全社員に送信しました。本文にはリンクを挿入し、「ここからアップデートしてください」というメッセージを記載しました。違和感のあるメール本文で、クリック率はどのくらいあるのか調査し、そしてクリックした人には注意喚起を行います。ネタばらしは同日の夕方に行いました。

 

2.作業内容

①メール配信の設定と準備

メール配信ソフトを使用して、各社員に一斉配信を行いました。主な設定内容を以下に記載します。にしても、リターゲティングメールってこういう使い方もあるんだなと思いました(自分の頭が固い・・)。

・全社員に対してメール配信を行うためメールアドレスなどの社員情報をインポートしました。 

・違和感のあるメール本文を作成し、送信者は実在するシステム部門になりすましました。 

・メールの本文にリンクがあり、そのリンクをクリックするとリターゲティングメールが送信されるように設定しました。

・クリックした人より情報収集したいため、アンケートフォームを作成しました。

 

②実際のメール受信

メールを受領しました。以下が実際の文面です。件名など違和感を感じるように作っています。部内レビューなど実施しますがバランスが難しいですね。

メール送信

 

③ネタばらしまで静観

夕方にネタばらしを行いますが、この時間が一番嫌な時間です。多くの問い合わせがガンガン来ます。各席で騒いでいる様子も感じ取れます。しかし、騒がないよりも騒いでもらった方が良いですね。

 

④ネタばらし

同日の夕方に、「実は標的型攻撃メールの訓練でした!」というメールを配信します。クリックした人を、リターゲティングメールの送信リストと端末監視ソフトでリンク先にアクセスしたリストをクロスチェックします。また、クリックした人にはアンケート入力に協力するようお願いしています。

メール受信

 

3.結果

クリック率は約16%で、標準的な結果となりました。アンケート結果を集計していると、「違和感を感じていたがリンク先を開いてしまった」という回答が多く見受けられました。 毎年実施している訓練なので、中には「訓練でしょ」と思いながら開いている人もいるかもしれませんね(笑)。また、新入社員のクリック率も高かったです。次回は危機意識を持ってもらうために、年度初めに実施したほうが良いという意見もありました。

 

4.まとめ

毎年同じような手順で訓練を実施しているため、exe形式の実行ファイルを添付しようと準備していましたが、セキュリティソフトによってブロックされてしまいましたので、断念しました。それはそれで良いことなんですけどね(笑)。 

また、つい1カ月ほど前に営業部門から違和感のあるメールを受領したという相談がありました。送信元は弊社が使用しているメーリングリストとなっていました。このメールは開かないように全社に通知し問題などは発生していません。これは実際に起こりうることですので、皆様もくれぐれもご注意ください。

 

(編集者・傾奇者)

 

⇒情報セキュリティに関するご相談はこちらから
 
【関連記事】
⇒情報セキュリティ対策、どこまでやるの?!
⇒情報セキュリティへの取り組み、進んでいますか?

お問合せ先

事例やコラムに関するご照会、案件に関するご相談やお見積は以下のフォームからお問合せください。

保険代理店DX支援に関するお問合せ