セキュリティベンダーのラックは2011年6月14日、「疑似的な標的型メール攻撃」を体験学習させることで社員のセキュリティ意識を高め、実際の攻撃による被害を防ぐことを狙った新サービス「ITセキュリティ予防接種」を開始した。料金は、被験者となる社員数が100人までの場合で100万円、同500人までの場合で250万円などとなっている。
標的型メール攻撃とは、クラッカ(破壊者)が特定の企業を狙い撃ちして不正アクセスを試みる際に、「侵入のための足がかり」を構築するためによく利用する攻撃手法である。ウイルス対策ソフトには検知できないような“特製マルウエア”をメールに添付して社員に送付。これを受け取った社員が誤ってマルウエアを実行してしまうと、感染したパソコンが「踏み台」となって社内ネットワークへの侵入を許すことになる。
ラックによれば、同攻撃では「人事部からの評価制度の案内」や「取引先からの連絡」といった、当事者しか知り得ないような文面のメールが送られてくるため、多くの社員がいとも簡単にだまされてしまうという。「当社の調査では、標的型メールを受信してわずか30分間で半数以上の社員がウイルスを含む添付ファイルを開封しているという事実が判明している」(ラック)。
そこでITセキュリティ予防接種サービスでは、実際の標的型メール攻撃と同じように、ユーザー企業の社員に擬似標的型メール攻撃を行う。そうすることで、社員にその怖さを身を持って体験してもらい、本物の標的型メール攻撃に耐えられる知識と判断能力を身につけてもらう。ただの知識として頭に詰め込むのではなく、実際に痛い目に遭って体で覚えることで、セキュリティ意識を確実に高めようというわけだ。
具体的には、同サービスを利用するユーザー企業はまず、社員に対して標的型メール攻撃に関する注意喚起や教育をあらかじめ実施しておく。実施してから数週間後、ラックが1回目の擬似メール攻撃を実行。実行後には社員に種明かしを行うと同時に、攻撃を見抜けなかった社員に対しては個別に対処方法などを説明する。
数カ月の期間を空けた後、2回目となる擬似メール攻撃を同様に実施する。ラックによれば、このような2回にわたる体験学習により、2回目の疑似攻撃では社員による不審なメールの開封率が確実に減少し、情報セキュリティへの理解が高まっていることを視覚的に確認できるという。
