実在する他組織の名前を標的型攻撃メール訓練で勝手に使ってはならない――。独立行政法人情報処理推進機構(IPA)は2017年7月31日、「組織における標的型攻撃メール訓練は実施目的を明確に」と題した文書を公開。標的型攻撃メール訓練で気を付けるべきポイントを解説している。
特定の組織や人を狙い、マルウエア感染や不正サイトへの誘導を狙う「標的型攻撃メール」が後を絶たない。攻撃者は実在の組織を名乗って、狙った組織や人が開封しそうなメールを送ってくる。こうした攻撃への対応力を高めるため、攻撃メールを模した訓練を実施する組織が多い。しかし、訓練のやり方を間違えて、混乱を引き起こす場合がある。
典型的なのが、実在する組織の名前を使った標的型攻撃メール訓練だ。メールを受信した人がその組織に問い合わせたり、メールの内容をSNSに投稿したりして、迷惑や風評被害を与えてしまうことがある。IPAの文書でも「IPAをかたった不審なメールを受信した」という相談の多くが、IPAの組織名を用いた訓練メールであったと確認している、と訴える。実在する組織やそれに酷似した名称は使わないよう推奨する。
このほか、実施目的に応じた評価基準の例など、訓練のポイントを解説している。
関連記事:人騒がせな標的型攻撃訓練
