Jライブラリー

「標的型攻撃メール訓練」から
「フィッシング意識向上トレーニング」に移行を!
(第2回)

名和利男 コラム

はじめに

多くの企業で「標的型攻撃メール訓練」が実施されていますが、最近のフィッシングメール(インターネット上で詐欺行為を行うために送信される電子メール)に対して、訓練効果が徐々に低下していると感じています。これは、筆者が参加している複数のチームが提供する「顧客におけるセキュリティインシデントの対処支援」の中で、昨年あたりから「標的型攻撃メール訓練」を定期的に実施している組織において、フィッシングメールに騙される従業員や役職者が明らかに増加しているからです。

全ての企業で同様の傾向があるかどうかを確認できていませんが、筆者のチームでの確認によると、重要なインフラサービスを提供する企業の委託先が特に目立っている印象を受けています。

私のチームは、インシデント対処の最終段階で、被害組織の依頼に基づいて改善提案を行うことがあります。その過程の中で、被害組織が定期的に実施している「標的型攻撃メール訓練の方法と内容では最近のフィッシングメールの検知が困難になっている」ことを指摘させていただくことが立て続けにありました。

従来の標的型攻撃メール訓練の問題点

まず、従来の標的型攻撃メール訓練自体が不十分であるわけではありません。主な問題点は、組織の情報セキュリティ管理者や訓練実施担当者の理解している「フィッシングメールの手口」の知識が古くなっていることや、「自組織の社員が最近受けたフィッシングメールの傾向」に過度に焦点を当てていることです。

最近のフィッシング手口には、以下のような特徴があります。

  • ユーザーがメールをフィッシングと識別しにくくなるよう、件名、本文、送信者名に現地の言語や言い回しを用いています。
  • メールのトピックが、受信者における組織内業務に合わせています。(例:経理部門に請求書や経費報告書の提出を求めるなど)
  • 迷惑メールフィルター機能を回避するために、他所において実際に侵害された(正規の)メールアカウントを使用してフィッシングメールを送信します。
  • 大量に送信されたメールのセキュリティ検知を回避するために、多数に分散したメールアドレスを使用します。
  • 暗号化されたZIPファイルや、フィッシングサイトでのキャプチャ認証を使用して、悪意のあるコンテンツを識別する自動スキャナーを無効化します。
  • 検出やブロッキング(遮断)を複雑にするために、添付ファイル名が異なる多形性マルウェアを使用します。

情報セキュリティ管理者がこれらの手口の存在や自組織のメール慣行に関する十分な知識とリスク認識を持っていない場合、目的と内容が的外れになってしまい、「現実との乖離」を生じさせることにつながります。

例えば、自組織やその他の組織がメール添付で暗号化ZIPファイルの送受信を許可している場合、組織内のメール経路上でのセキュリティ検知ができず、受信した社員が悪意のあるZIPファイルを警戒せずに開いてしまう確率が高まります。ちなみに、暗号化ZIPファイルは、リスクの高いメール慣行であり、令和2年から政府機関で使用禁止になっています[1]。最近では、英国の国家サイバーセキュリティ機関が、サイバー攻撃者が生成AIを悪用して被害者との説得力のある対話を可能にするために使用していることを伝えています[2]

情報セキュリティ管理者は部下に調べさせるのではなく、自分で積極的に、かつ継続的に最新のフィッシング手口に関する知識を獲得する必要があります。このような努力を積み重ねることでフィッシングメールの脅威へのリスク感覚が養われ、適切な指示と必要なセキュリティ投資が実現します。他人からの情報だけでは一時的な理解に留まり、実際の行動変容には繋がりません。

その他、以下のような問題点も見られます。

  • 水面下(管理者が把握できない領域)で社員の反感を招く
    標的型攻撃メール訓練を受けた社員が、訓練を試験や罠と感じることがあり、モチベーションの低下や訓練そのものへの反感を招くことがあります。過去に、訓練後に不可抗力で開封してしまった(優秀な)社員が情報セキュリティ研修を受けさせられたことで、他の社員が組織に不信感を感じていたことが判明したこともありました。
  • 電子メールの見分け方に依存した訓練内容
    最近のフィッシングメールを基に、電子メールの見分け方に依存し過ぎた訓練しか実施していないと、SMS(ショートメッセージ)やソーシャルメディア(FacebookやXなど)を通じたフィッシング詐欺への警戒をおろそかにします。その結果、電子メール以外の経路でフィッシング詐欺を受けたことに気づかずに、組織の被害が甚大化してしまったことがあります。
  • 社員それぞれの自助に期待した訓練設計
    社員それぞれのセキュリティ意識にはばらつきがあります。高意識レベルを基準にした訓練では、意識の低い社員が困惑する可能性があります。逆に低意識レベルを基準にすると、高意識の社員には効果が薄く、時間の無駄に感じられることがあります。また、同一職場内での相互の注意喚起といった共助の仕組みが欠けています。

[1]     平井内閣府特命担当大臣記者会見要旨 令和2年11月24日
https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201124kaiken.html

[2]     The near-term impact of AI on the cyber threat
https://www.ncsc.gov.uk/report/impact-of-ai-on-cyber-threat

フィッシング意識向上トレーニングへの移行の重要性

「標的型攻撃メール訓練」と「フィッシング意識向上トレーニング」は、サイバー脅威から組織を守るという目的において、ほぼ同じ位置付けにあります。しかし、これらの実施対象である社員の視点から考えると、次のような違いがあります。

  • 「標的型攻撃」と「フィッシング」
    「標的型攻撃」とは、特定の個人や組織、インフラに対して特別に設計され、計画されたサイバー攻撃のことを指します。しかし、悪意のあるメールの多くは、基本的な知識さえあれば見抜けるものであるため、社員は「計画されたサイバー攻撃」とは感じにくいものです。一方、「フィッシング」とは、詐欺的な手法の一つで、信頼できる組織や個人を装って個人情報を騙し取る行為のことです。これは、社員が実際に目にする悪意のあるメールから受ける印象に近くなります。
  • 「訓練」と「トレーニング」
    「訓練」という語感は、軍隊などの厳しく精神面を重視するものを想起させたり、特定の職務や作業を遂行するために必要な知識やスキルを身につけるものという印象を与えたりします。一方、「トレーニング」は、訓練よりも軽度で科学的なものという意味で使われる傾向があり、個人の能力や可能性を引き出して全体的な能力を向上させるという意味で使われます。これらの違いは、社員が無意識に感じています。
  • 「開封率」と「報告率」
    従来の「標的型攻撃メール訓練」は、社員が悪意のあるメールを開かないようにすることを短絡的に求めているため、社員にとってネガティブな「開封率」を指標とします。一方、「フィッシング意識向上トレーニング」は、セキュリティに対する社員全体の意識(知識と理解)と責任感を高めることを目的にしているため、社員にインセンティブを与える「報告率」を指標とするのが一般的です。
  • 「不審メール」と「フィッシングメール」
    「標的型攻撃メール訓練」では、悪意のあるメールを「不審メール」と呼ぶことが多いです。事前にセキュリティ教育で見分け方を教育した上で「不審メール」の認知をすることになりますが、社員が経験する訓練は単なる知識習得の確認に近いものとなります。一方、「フィッシング意識向上トレーニング」は、事前の教育は同じですが、一定期間空けて複数回の模擬フィッシングメールを送信し、教育内容以上の最新の手口も使います。管理者は、そのフィッシングメールを見抜いた社員にインセンティブを提供するなどして、他の社員が追随するような雰囲気を作る努力をします。

「フィッシング意識向上トレーニング」において最も重要なポイントは、社員間において互いに協力し合ってフィッシングメールを迅速に認知できるような「共助」の仕組みを作ることです。そのためには、組織内において(役員たる)CISOを中心とした組織全体のサイバーリスクのマネジメントシステムが必要となります。だからこそ、フィッシングメールを早期に認知した社員からの報告を歓迎します。

従来の「標的型攻撃メール訓練」は、(役員たる)CISOに対して「汗をかく努力」(高い集中力、体力の投入、持続的な努力、目標達成への強い意識)を求めていません。それに甘んじ、どの訓練サービスが最善であるか否かの選択をするという怠惰な姿勢を無意識に続けているところすらあります。CISOを中心としたサイバーリスクのマネジメントシステムを成熟させていけば、適切なトレーニングサービスは必然的に決まります。

おわりに

警察庁のサイトに公開されている「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(令和6年3月14日、国家公安委員会/総務大臣/経済産業大臣)によると、「不正アクセス関連行為の関係団体への届出状況」の「電算機別分類」で次の統計が示されています。

              届出を不正アクセス行為の対象となった機器で分類したものである。
              1つの届出において、複数の機器に不正アクセスを受けている場合がある。
           【主な機器】
               ウェブサーバ:92件
               メールサーバ:50件
               クライアント:49件

不正アクセスされたメールサーバがクライアント(PC等)より多い点に注目してください。最近のフィッシングメールでは、正規のメールアドレスと過去のメールのやり取りがそのまま利用されることがあります。これに生成AIの悪用が加わると、従来の不審メールの見分け方では対応できません。

今後のフィッシングメール対策はこれまでとは異なる次元の努力が必要です。その中心は社員やベンダーではなく、組織の中核である(役員たる)CISOを含む経営層です。

※本内容の引用・転載を禁止します。

pagetop