被害拡大中の標的型攻撃は、従業員の意識で防げる!
標的型攻撃防止に劇的効果が現れるメール訓練運用案
1年間で頻繁に変化する標的型攻撃をおさえる教育方法を、自社アンケート調査データをもとに解説。

    頻繁に変わる攻撃手法

    ランサムウェア攻撃や情報漏洩、企業組織への金銭要求など、年々被害が拡大している標的型攻撃は、IPAが発表する情報セキュリティ10大脅威(組織版2023年)のランキングでも、上位の危険性をみとめられています。
    近年は国内でも、業界を問わず、ニュースに取り上げられるような重大なインシデントに発展するケースが確認されており、その深刻性を増しているのが実情です。

    標的型攻撃の特徴のひとつが、攻撃手法の変化が短期間で行われやすい点です。

    メールを通じた攻撃経路は変わりませんが、受信者がメールを開封・メール内のリンク先をクリックしてしまいやすいよう、常に攻撃側が工夫をしています。
    近年は、時流に即した内容(新型コロナウイルス・テレワーク関連等)や管理部からのお知らせを装った文面など、多岐に渡る攻撃手法が確認されており、その変化は1年間の中でも複数回、頻繁に発生している状態です。

    こうした標的型攻撃メールを職員がうっかり開け、メール内に記載された問題サイトのリンクへアクセスしてしまうと、ランサムウェア感染や情報漏洩被害に発展するだけでなく、さらに深刻な二次被害に至るケースも後を絶ちません。

    しかし標的型攻撃は、『問題のあるメールを開かない』『メールを開いても、怪しいリンク先をクリックしない』等で対策でき、個々人が注意を払うことで防げる可能性が非常に高い攻撃でもあります。

    そのため、問題メールを見分け、開かない・クリックしないといった対処ができる能力を職員が養い、組織内のリテラシーを向上させることが、有効対策として考えられています。

    こうした対策の一環として、組織の情報セキュリティの管理者は、標的型攻撃に関する研修や、実際の攻撃を体験できるメール訓練のような教育機会を設けることが多いと思われます。

    標的型攻撃に有効な訓練

    それでは、頻繁に攻撃手法が変わる標的型攻撃の対策として、従来の教育で効果は見込めるのでしょうか。

    ソースポッドが行った、情報セキュリティ教育の受講者である職員へのアンケート調査によると、年1回程度の情報セキュリティ教育では、教育内容を覚えている割合は57%程度にとどまります。

    一方、高頻度に教育機会がある人ほど、内容を覚えていると答えた層が厚く、情報セキュリティ教育を3カ月に1回行う層と1年に1回行う層を比べると、覚えている人の割合に16.5%の差が開いていると確認されました。

    加えて、流行が常に変わる標的型攻撃への対策として教育効果を高めるには、1年に1度の実施では最新情勢のカバーまで手が回らず、標的型攻撃の防止効果が高い教育になるとは、概ね言えないと推測されます。

    そのため、情報セキュリティ教育の管理者側は、最新の攻撃手法を職員へこまめに情報提供をしたり、社内教育の回数を増やし意識を高く持たせ続ける等を行って、職員に頻繁に意識してもらう工夫が必要だと考えられます。

    また、複数回の標的型メール訓練(ソースポッドのSPC標的型メール訓練を使用)を行ったところ、標的型攻撃メールの開封率・流出率(URLリンクのクリック)双方が、その時々で変動が見られています。

    訓練では実際の標的型攻撃同様、流行を踏まえて毎回異なるメール文面(攻撃内容)を送っていますが、この文面の内容によって、思わず開封してしまうもの・流出に至ってしまうものの差があらわれることが明らかになっています。

    しかし4回目からは、最終的な流出率(URLリンクのクリック)がぐっと下がっており、職員間での注意が定着し始めた結果であると推測されます。

    このように、標的型攻撃の特性上、頻繁に時流や最新攻撃手法をおさえた訓練を複数回行うことは、職員のリテラシー向上に影響すると見受けられ、実際の攻撃を受けても対応できる組織作りに効果が見込めると考えられます。

    管理者側の運用課題

    ただし、こうした高頻度の研修を行う場合、【管理者の工数がかかる】という問題が挙げられます。

    一般的なメール訓練では、セットアップやメール訓練の内容選定といった多数の作業があり、1通のメール訓練のために34か月の工数がかかるのが現状です。
    管理者側としては、1回のメール訓練の配信に関する作業負荷が大変重くなってしまう状態です。

    こうした課題を乗り越えるために、管理者側は、社内で工数を分担・削減する工夫を自組織にあわせた形で行うのに加え、自組織に最適な内容・配信頻度の研修サービスを選定する等、事前の準備を入念に行うことがポイントになります。

    ソースポッドのSPC 標的型メール訓練では、最新の攻撃手法をおさえたコンテンツの作成・訓練実施の各種工数をソースポッドで負担し、管理者様の確認だけで配信が可能なサービスとして提供しております。
    工数をおさえ、組織内の管理者の負担がなく実施できるため、1年で複数回の訓練実施が可能となり、頻繁に変化の起こる標的型攻撃に強い組織作りに高い効果が見込めます。

    詳細は、弊社サービス営業部へお問い合わせください。