「標的型攻撃訓練メール」をご存じだろうか。セキュリティ予防接種、などとも呼ばれる。企業が組織内やグループ内各社に偽の標的型攻撃メール(無害)を送信し、開封の有無や添付ファイルの実行をトラッキングし、だまされて開いてしまった人に注意喚起を行うものだ。社員のあやしいメールへの耐性、対応力を上げるための、サイバー演習の一種である。
無害なメールで攻撃への耐性をつける
もともとは、2007年にJPCERTコーディネーションセンターと民間セキュリティベンダーが行っていた標的型攻撃の動向分析の中から生まれた、対処方法のひとつだ。当時は「情報セキュリティ予防接種」と呼ばれていた。無害な添付や攻撃メールを送付し、開封率をトラッキングし組織防衛に役立てつつ、従業員のリテラシー向上や攻撃メールへの耐性をつけるために有効だと期待された。
その後2011年に、予防接種を本格的に調査分析した報告書が公開されている。報告書には、訓練の実施方法や注意点とともに、実際に訓練メールを送ったときの開封率、組織ごとの傾向、部署や役職ごとの傾向、予防接種そのもの効果などが詳細に分析されている。
この報告書の公表を受け、調査・研究にかかわったセキュリティベンダーなどが、独自に手法をアレンジし標的型攻撃メールの訓練サービスとして商品化されていった。同様な研究は海外でもあり、海外ベンダーもそのようなサービスを提供しているところもある。
開封率・感染率をゼロにできない
しかし、報告書をよく読むとサイバー予防接種、標的型攻撃メール訓練サービスは万能ではない、と結論付けていることがわかる。いくつかの注意事項とともにうまくコントロールして実施すれば、一定の教育や演習として無意味ではないということしか述べていない。たとえば、訓練は通常間隔をあけて2回行うことで開封率の低下などを確認するようになっているが、2回目以降確実に開封率が下がるわけではないことを警告している。標的型攻撃に対する認知、注意喚起という意味では効果はあるが、開封率への影響はそれほど大きくない。
調査の中では、不特定多数の人と接触する機会が多い管理職や役員ほど心当たりのないメールを開く事象が確認される、営業部門など見知らぬ顧客からの問い合わせを拒否できない部門も存在する、といった課題が指摘されている。
このような問題点を理解したうえで、目的を明確にした正しい手順で行われる訓練には意味はあるが、ベンダーに勧められたからとやみくもに実施しても、あまり効果は期待できないだろう。
単に「標的型攻撃を防ぎたい」「情報漏えいを防ぎたい」といったレベルではなく、「インシデント発生に対する報告ラインが機能しているかを確認したい(ウイルス感染を黙っているような従業員はいないか)」「同業者を狙った標的型攻撃メールが確認されたので注意喚起と訓練を行いたい」といった、ピンポイントで具体的な目的が必要だ。