ビジネスでは日々大量の迷惑メールが届きますが、その中にはユーザーを騙し、お金を盗み取ろうとする悪意のあるファイルやURLを含んだメールも存在します。こうした不審なメールを不用意にクリックすると、悪意のあるサイトに遷移し、ログイン名やパスワードなどの認証情報が盗まれるページへ誘導される恐れがあります。
特定の組織や個人を狙った標的型攻撃やビジネスメール詐欺では、こうした不審なメールを用いた攻撃がしばしば用いられます。誤ってクリックしないためには、「メール訓練」が有効です。
ビジネスで受信するメールのうち、約3割が迷惑メール
業務で利用するメールアドレスには、日々大量の迷惑メールが届きます。その中にはユーザーを偽のサイトに誘導し、IDやパスワードを盗み取ろうとする「フィッシングメール」も数多く含まれています。
欧州のセキュリティ企業Hornetsecurityグループが2024年12月に発表したレポートによると、2023年11月から2024年10月の期間に企業が受信した約205億件のメールのうち36.9%が迷惑メールであり、かつその2.3%(約4億2780万通)に、悪意のあるコンテンツが含まれていたといいます。
攻撃の手法としては、マルウェアやウイルスなど、悪意のある添付ファイルを用いた攻撃は減少傾向にある一方、ソーシャル・エンジニアリング(人間の心理的な隙を狙った攻撃)や、悪意のあるリンクを用いてユーザーを騙すフィッシング攻撃が増加したといいます。
ソーシャル・エンジニアリングを悪用したメール攻撃のひとつに「ビジネスメール詐欺(BEC)」というものもあります。これは標的となる企業に対し、取引先や自社の経営者などビジネスパートナーを装ったメールを送りつけ、偽の口座に送金させるなどで金銭を騙し取るサイバー攻撃のことです。件名に「振込先の変更」「支払い方法の変更」など、いかにもビジネスシーンでありがちな表現が用いられることが多く、ついついメールを開封しがちな点が特徴です。
ビジネスメール詐欺はよくある迷惑メールのように不特定多数の企業にばらまくのでなく、ターゲットを特定の組織や個人に絞って行うため、標的型攻撃の一種としても捉えられます。IPA(情報処理推進機構)のサイトでは、実際に発生したビジネスメール詐欺のさまざまな被害例が公開されており、実際に偽の口座に金銭を振り込んでしまったケースも発生しています。
ビジネスメール詐欺の代表的な手口。取引先担当者や経営者になりしまして、偽のメールを送りつけて詐欺を行う(IPA資料「その送金依頼、ニセモノかもしれません」より引用)
悪意のあるメールは、「メール訓練」で見破れる!
こうした不審なメールの手口に引っかからないためには、どうすれば良いのでしょうか? その対処方法の1つが、「メール訓練」です。
一般社団法人日本シーサート協議会では2022年8月、従業員の不審なメールに対する対応力の向上を目的とした資料「メール訓練の手引書」を公開しています。同協議会ではこの資料を活用しながらメール訓練を行うことで、標的型攻撃に対する防御はもちろん、セキュリティ担当者の工数削減にも寄与するとしています。
同資料によると、メール訓練には大きく分けて2種類があるといいます。1つが「攻撃メールを見抜く能力の向上訓練(判別訓練)」です。具体的には、攻撃メールに掲載されているURLをクリックしないこと、攻撃メールに添付されているファイルを開封しないための訓練です。
もう1つが「攻撃メールへの対応練習(通報訓練)」です。これは従業員が不審なURLをクリックしたり、添付ファイルを開いてしまった際、慌てずに社内の当該部署に報告する訓練を指します。
これらの訓練を実施する場合は、目標となる数値を設定します。たとえば判断訓練であれば「怪しいリンクのクリック率(開封率)は10%以下」、通報訓練であれば、「通報率はクリックしてしまったユーザーのうち90%以上」といった形です。メール訓練を定期的に実施し、数値を改善していくことで、従業員の攻撃メールに対するリテラシーが向上していくことが期待できます。
企業も行政もメール訓練を導入。引っかかった従業員へのフィードバックも
こうしたメール訓練は、さまざまなITベンダーがサービスとして提供しており、現在多くの企業や団体が利用しています。
たとえば東京商工会議所では、2019年度からメール訓練を毎年実施。2023年度は65社526名が参加し、開封率は7.8%(41名)と、前年度から4.4ポイント低下したといいます。開封者に対してはフォローアップとして、フィッシング対策(標的型攻撃メールを見分けるポイント等)を学ぶ教育コンテンツを配信しているといいます。(東京商工会議所「『標的型攻撃』メール訓練 実施結果」より)
官公庁でも実施されています。2021年に総務省から発表された資料によれば、24府省庁のうち21が標的型攻撃メールの模擬訓練を実施しており、年1回必ず実施している官公庁も存在するといいます。
この官公庁の例では、職員に対しメール訓練結果のフィードバックを行っています。たとえば3回連続して訓練メールを開封した職員に対しては、部局情報セキュリティ責任者を通じて注意喚起を個別に実施し、開封時の心理などを聞く調査なども実施しています。
メールは業務で日常的に使うもののため、悪意のあるメールの存在に気付かず、ついつい開封したり、リンクをクリックしてしまいがちです。しかし、その日常のルーティーンに忍び込んでくるのが、ビジネスメール詐欺の怖いところです。
詐欺が疑われる怪しいメールを見抜けるか、たとえ開封し、リンクをクリックしたとしても、そのことが社内のセキュリティ担当者に報告できるかが、これからのビジネスパーソンの必須スキルになるかもしれません。そのスキルを育むためにも、メール訓練の導入を検討してみてはいかがでしょうか。
連載記事一覧
- 第1回 クラウド時代のサイバー犯罪「なりすまし」をどう防ぐ?2023.11.10 (Fri)
- 第2回 社外で使用するPCやスマホをどうやって管理する? MDMのススメ2023.11.10 (Fri)
- 第3回 "サイバー攻撃は防げない"が前提のセキュリティ対策「EDR」とは2023.11.10 (Fri)
- 第4回 クラウドに潜む情報漏えいの危険は「CASB」で守る2023.11.10 (Fri)
- 第5回 ゼロトラストとは何か?導入のメリットを解説2023.11.17 (Fri)
- 第6回 新たな詐欺「スミッシング」を防ぐ方法とは2023.12.21 (Thu)
- 第7回 便利だけど危険!?「フリーWi-Fi」を安全に使う方法2024.01.17 (Wed)
- 第8回 ウイルス感染の警告は嘘?「サポート詐欺」が増加中2024.02.09 (Fri)
- 第9回 「スマート工場」に求められるセキュリティとは?2024.03.29 (Fri)
- 第10回 すべての通信を信用しない「ゼロトラスト」とは何なのか2024.03.29 (Fri)
- 第11回 未解決の脆弱性を狙った「ゼロデイ攻撃」を防ぐ方法とは2024.03.29 (Fri)
- 第12回 「IoTボットネット」にご注意。総務省の資料を読み解く2024.03.29 (Fri)
- 第13回 フィッシング詐欺はどうやって防げば良いのか?2024.03.29 (Fri)
- 第14回 「遠隔操作ソフト」が詐欺に使われている!その手口とは2024.03.29 (Fri)
- 第15回 過去15年で最悪の被害件数「特殊詐欺」の防ぎ方2024.03.29 (Fri)
- 第17回 Gmailにメールが届かなくなる?ガイドラインが変更2024.03.29 (Fri)
- 第16回 パスワードが無くても認証はできる!「パスキー」とは2024.03.29 (Fri)
- 第18回 IPAが選出、2024年の「情報セキュリティ10大脅威」とは2024.03.29 (Fri)
- 第19回 返金されない?オンラインゲームの無断課金にご注意2024.05.22 (Wed)
- 第20回 その動画、本物?偽物?ディープフェイクの脅威2024.07.11 (Thu)
- 第21回 攻撃を察知し先手を取る。「能動的サイバー防御」とは2024.07.12 (Fri)
- 第22回 悪質な通販サイトを見分けるポイントとは2024.07.12 (Fri)
- 第23回 知らぬ間にスマホが乗っ取られる「SIMスワップ」の恐怖2024.07.12 (Fri)
- 第24回 詐欺トレンド、ライブ配信を狙ったフィッシング詐欺にご注意2024.08.08 (Thu)
- 第25回 自分の個人情報が「ダークウェブ」に流出!?チェックする方法とは2024.08.08 (Thu)
- 第26回 パスワードの定期的な変更は不要!今年5月に刷新された総務省の指針を読み解く2024.08.08 (Thu)
- 第27回 あなたは見破れるか?ビジネスメールに扮した「BEC詐欺」の手口2024.09.24 (Tue)
- 第28回 頼れる存在「ホワイトハッカー」を社内で育成する方法2024.09.24 (Tue)
- 第29回 その情報、拡散しても大丈夫?災害時のニセ情報の見分け方2024.10.08 (Tue)
- 第30回 日本のセキュリティ知識は世界最下位!?どうすれば向上するのか2024.10.18 (Fri)
- 第31回 「フィッシングにご注意」のメールが詐欺だった!対策はあるのか2024.12.26 (Thu)
- 第32回 ゼロトラスト導入の第一歩は、どこから踏み出せば良いのか? 2025.02.20 (Thu)
- 第33回 なぜ企業はゼロトラスト導入に失敗するのか?落とし穴の回避法2025.02.20 (Thu)
- 第34回 Pマークの新基準がスタート。企業に求められる対応とは?2025.03.27 (Thu)
- 第35回 増え続けるID・パスワードをまとめて管理「IDaaS」の魅力とは2025.03.27 (Thu)
- 第36回 「ゼロトラスト」と「SASE」は、何が違うのか?2025.03.31 (Mon)
- 第37回 ゼロトラスト導入後の運用稼働をラクにする方法とは2025.03.31 (Mon)
- 第38回 詐欺メールは「訓練」で見破れる!不審なメールを開かない方法2025.03.31 (Mon)
