攻撃の主流はいまだメール

Microsoft 365をご利用されているお客様が増えており、それに伴い二要素認証をご設定されているお客様もいらっしゃるかと思います。

突然ですが、Microsoftから下記のようなメールを受信した場合、どうしますか?


このメールを見た時、
「なるほど、今のMicrosoft 365利用環境にセキュリティ的な処置を導入するのだな」
と考え、素直にメール内容の指示に従いますか?

それとも
「何も聞いてないな。情報システム部に問い合わせてみよう」
と、社内で確認を取りますか?

実は、上記メールは実際に流通していたMicrosoftを装ったフィッシングメールです。


  • ビジネスメールである
  • セキュリティに関する内容である
  • 期限切れによる「アカウント無効化」→アカウントが使えなくなる!というユーザの焦りを煽り、操作を促している


上記の点から、Microsoft 365をご利用されている環境下では、フィッシングと判断しにくい、非常に巧妙な内容と言えるでしょう。

現在、ほとんどの企業の環境で何らかのメールセキュリティは導入されておりますが、いまだにメールは侵害経路の窓口となっているのが実情です。

この原因として、そもそもご利用のメールセキュリティ製品のフィルタ性能が高度な攻撃内容のメールをブロックできるものではなく、すり抜けてしまっている可能性があります。
また、それに加え、メールを受信したユーザのセキュリティ意識が低く、安易にクリックを実施してしまっているということが考えられます。

先のようなメールを受信したとき、その内容を疑い、自分で考え、正しく判断する力を養うためには、十分な知識や訓練が必要です。

記憶の定着とセキュリティ教育

メール訓練やセキュリティ教育を、既に導入されている組織や企業は多いでしょう。
ですが、それらを実施しているにも関わらず、インシデントが発生する、或いは発生率が軽減しないという場合、その内容が受講者にとって効果的ではない可能性が考えられます。

まず、「記憶」には、以下の3種類あります。
 

  • 短期記憶・・・15秒前後の記憶
  • 近時記憶・・・数時間から数日間に渡って保持される記憶
  • 長期記憶・・・数時間から障害に渡って保持される記憶


このうち、「長期記憶」はさらに2種類、5タイプに分かれます。
 

  1. 陳述的記憶...頭で覚える記憶
    • エピソード記憶...旅行など実体験に基づいた記憶
    • 意味記憶...学校の勉強や一般常識などの知識

  2. 手続き的記憶...体で覚える記憶
    • 条件反射...パブロフの犬やレモンや梅干しなどを見て唾液が出る記憶
    • 熟練技能...自転車の乗り方やパソコンのキー操作など身体が覚えた動作
    • 認知技能...ゲームのルールや九九など無意識に処理している記憶


(出典:日本学術学会https://www.scj.go.jp/omoshiro/kioku3/kioku3_2.html)

いわゆる「学習」とは意味記憶に属し、これが最も覚えにくく、思い出しにくいと言われています。

学生時代、試験や受験に向けてどうにか記憶を定着させるように努力しませんでしたか?
トイレのドアや自室の壁に単語を張ったり、平方根や年号、化学式を語呂合わせにして覚えたり、音読したり繰り返し書いたり...実は、これらはすべて脳の仕組みを利用した正しい記憶法なのです。

翻って、現在企業で実施されている教育は、どうでしょうか。

もちろん学生時代ほどの学習時間を設けることはできませんし、そういった内容のテストも実施されていないでしょう。
しかし、受講者が内容をきちんと覚え、身に着けることができるような内容になっているでしょうか。
例えば、年一回程度しか実施していない場合は、受講者に学習の記憶が定着していなくても不思議ではありません。
また、「覚えるべき内容」だけが大量に詰め込まれたコンテンツであれば、何らかの手段で、受講者の記憶を定着させる仕組みや仕掛けを設ける必要があります。

セキュリティ教育の効果を高めるためのポイント

これらを踏まえて、セキュリティ教育の効果を高めるためにはどのような事に留意すべきか、ご紹介していきたいと思います。
 

①メール訓練と一気通貫で行う

標的型メール訓練などを取り入れている企業は多いですが、送りっぱなしになっていませんか?
誤って添付ファイルを開いてしまったり、リンクをクリックしてしまった従業員に対しては、セキュリティ教育も併せて行うことで効率的なリテラシーの底上げが可能となります。
なお、メール訓練においては、流行している攻撃メールのテンプレート等を取り入れることで、より効果的なシミュレーションを行うことができます。

 

②コンテンツや頻度の最適化

前項で触れたように、セキュリティ教育は従業員の記憶に定着させてこそ、効果を発揮するものです。
そのためには従業員が飽きないコンテンツや頻度、実施のタイミングなどを最適化していく必要があります。

 

③効果測定を行う

現在の従業員の理解度がどの程度なのかを把握すること、また訓練・教育でそれが改善されているのかきちんと効果測定していくことも重要です。
改善が見られない従業員に対しては、重点的にフォローを行うことも必要です。

まとめ

昨今フィッシングメールは巧妙化しており、既存のメールセキュリティシステムですべてをブロックするのは困難になっています。
そこで最後の砦となるのは、従業員が怪しいメールかどうかを見分ける判断力であり、そのためには質の高いセキュリティを行い、知識と訓練を積み重ねていくことが重要となります。