開封率は約50％！ほんとに自分は大丈夫？～「標的型メール攻撃訓練」の結果～

 コンピューターウイルスやワームのようなマルウェアの被害が後を絶ちません。近年では特に、WannaCryに代表される身代金要求型のランサムウェアと呼ばれるマルウェアによる被害が増加しています。インターネットを利用していない企業が皆無に等しい状況となった昨今、マルウェアの脅威はどの企業にとっても他人事ではありません。

　このマルウェアの進入ルートの中でも、最も防御が難しいのが標的型メール攻撃です。特定の企業を狙った標的型メール攻撃によるマルウェア感染被害が深刻化するなか、アイネスでは、攻撃を受けた際に正しい対応がとれるよう訓練を行う「標的型メール攻撃訓練サービス」を提供してきました。

　アイネスがお客様に対して「標的型メール攻撃訓練」を実施したところ、“文面や送信元が怪しい、送信者の署名が無い”など、明らかに不正なメールと判断できるにも関わらず開封率は約50％、実に半数近くもの社員・職員の方々が不正なメールを開封してしまうという結果となりました。

　今回は、この標的型メール攻撃に対し、社員や職員が正しく対応できるかどうかをチェックする訓練とその結果についてご紹介します。

「標的型メール攻撃訓練」で、一人ひとりの意識を高められる

　マルウェアをはじめ、手を変え品を変え日々高度化するサイバー攻撃はいつどこからやってくるか見当もつきません。開封率が高いということは、それだけ被害に遭う確率が高いということです。

　一人ひとりの意識を高め、企業・組織のセキュリティモラルの底上げを行うために、標的型メール攻撃訓練は大変有効です。

　標的型メール攻撃訓練を実施されたお客様の多くに、1回目には約50％の方がメールを開封してしまったが、2回目には大幅に開封率が下がった、という傾向がみられました。

【訓練を受けたお客様の感想】

金融機関A社様

○訓練対象者数：１７０名
○開封率：４７%（初回）、９％（２回目（１か月後））
○お客様の感想
・事前に訓練を実施する旨を周知していたにも関わらず、開封率が高かった。
・開封してしまう部門に偏りがあること、役職には関係がないことが分かった。
・個人個人のセキュリティに対する意識を確認するためにも、訓練を継続的に実施する必要性を感じた。
・実際に開封してしまった人は常にリスクと隣り合わせであることや、自分も被害者になり得ることを実感したのではないか。

小売業B社様

○訓練対象者数：１５０名
○開封率：４６%（初回）、３％（２回目（１か月後））
○お客様の感想
・初回の４６％という結果は、想定した開封率よりは低かったが、やはり危機感を感じた。
・２回目は３％に減ったものの、０％にならなかったのは大変問題である。
・メール送受信は限られた社員しかできないものの、部門間の社員の入れ替えが激しいので、時間をおいて継続的に実施することが必要だと感じた。

地方自治体C役所様

○訓練対象者数：９３名
○開封率：４８%（初回）
○お客様の感想
・サイバー攻撃に対する警戒心を強化するため、標的型攻撃メールを受信・開封した際の対応を経験しておきたかった。
・事前に訓練を実施することを周知していたにもかかわらず開封率が高く、残念であった。
・今後、開封してしまった職員を中心に、セキュリティ全般の教育コンテンツを充実させて教育を行っていきたい。
・次回は事前通知せずに実施して、職員のセキュリティ意識を確認したい。

日本での標的型メール攻撃被害事例

　先ほどの例は、あくまでも訓練による疑似メールでしたが、実際に日本でも標的型メール攻撃による大規模な被害が出ています。

【日本年金機構】

時期：2015年5月
概要：マルウェア「Emdivi」により、約101万人の個人情報を漏えい。感染経路は、職員の一人が不審なメール内のURLをクリックしたことによるとみられている。

【富山大学】

時期：2016年6月
概要：教員のパソコンが前年11月にウイルスに感染し、発覚するまでの間、学生など約1,490人分の個人情報や研究に関するデータが漏洩。原因は、教員がメールに添付されていたウイルスを含んだ添付ファイルを開いたことによるとみられている。

 

【i.JTB】※JTBグループ

時期：2016年6月
概要：マルウェア感染による不正アクセスから約679万人分(発表当時は約793万人分で後に重複分を修正)の個人情報を漏えい。うち33万人はJTBと提携するNTTドコモの顧客情報であった。感染経路は、取引先を装って社員に届いたメールの添付ファイルを開いたことだとみられている。

セキュリティは「かけ算」で考える。

　対策として設備やルールをどれだけ強化しても、たった一人のミスが、組織全体のセキュリティをゼロにしてしまうのが情報セキュリティの怖さではないでしょうか。

　近年では標的型メール攻撃の巧妙化が進んでおり、不正メールかそうでないかを見分けることが大変困難になってきていることから、社員・職員に向けたセキュリティ教育の一環として標的型メール攻撃訓練の継続的な実施が重視されています。

　アイネスでは標的型メール攻撃訓練サービスをはじめ、さまざまなセキュリティサービスで組織全体のセキュリティ強化をご支援します。

セキュリティーでお悩みのご担当者様へ

弊社は、情報サービスのプロフェッショナルとして、システムの企画・コンサルティングから開発、稼働後の運用・保守、評価までの一貫したサービスと公共、金融、産業分野などお客様のビジネスを支える専門性の高いソリューションをご提供しています。お気軽にご相談ください。

お問い合わせ

【関連記事】
・INES-SIRT（アイネス・サート）立ち上げ！ 自社のセキュリティ基盤強化とお客様のセキュリティ対策支援のエンジンに
・標的型攻撃メール　見分ける力と開封してしまった際の初動対応力が、被害を最小限に食い止める
・たった一通のメールを開封しただけで...。『標的型攻撃メール』の脅威
・アイネスの情報セキュリティソリューションとは?


※ 本文に掲載されている会社名・製品名は各社の商標または登録商標です。