標的型メール訓練を実施している方であれば実感されていると思うのですが、

送った訓練メールって、見られているの?

って思うことはありませんか?実のところ、キットに関する質問として、この質問は結構頂きます。

訓練メールに添付したファイルが開かれたり、訓練メール本文中のURLリンクがクリックされれば、開封者としてカウントされるので、その数はわかりますが、開封者としてカウントされなかった人については、

訓練メールを見たけれど無視したのか?
それとも、訓練メールを見ていなかったのか?
もしくは、迷惑メールに分類されて届いていないのか?

がわかりません。

メールの内容を見た上で、これは怪しいメールだから無視しよう。と判断しているのであればいいのですが、メールを見ていない、また、届いていない。ということであると、訓練を受けていない事と同じになるので、開封率の判断にも影響が出てきてしまうことになります。

それゆえに、

送ったメールがちゃんと見られているのか?

を知りたいというニーズが生じるのは自然なことです。

では、送ったメールがちゃんと見られているのかどうか?を知る方法は有るのでしょうか?というと、条件付きではありますが、その方法はあります。

今回は、その方法について解説します。

訓練メールが見られたかどうかを確認する方法とは?

メールが読まれたかどうかを確認するための方法として誰もが挙げるのは、メールソフトについてる「開封確認の要求」オプションをONにしてメールを送信することでしょう。

しかし、「開封確認の要求」オプションでは、開封したことを相手に知らせるかどうかは受信者の判断に委ねられることになるため、開封したことを知らせてくれる保証はありません。

そもそも訓練メールは不審なメールを装って送るものですから、不審なメールに対して「開封しましたよ」なんて通知を返すことの方が、却ってヤバイでしょう。

なので、「開封確認の要求」オプションは、標的型メール訓練においては、開封確認の方法としては残念ながら使えません。

では、具体的にどんな方法があるのか?というと、

HTML形式のメールを使い、
HTML形式メールの本文の中に、
縦横1ドットのWebビーコンデータを埋め込む

という方法です。Word文書添付ファイル型の訓練では、Word文書ファイル内にWebビ―コンを埋め込むことで、添付ファイルが開封されたかどうかを知ることになりますが、この方法を訓練メールにも応用することで、メールが読まれたかどうかを確認することが可能になります。

しかし、デフォルトではWebビーコンは反応しない

訓練メールにもWebビーコンを用いることで、メールそのものを見たかどうか?を確認することは、技術的には可能になりますが、実際にやってみると、デフォルトではWebビーコンが反応せず、メールを見たのかどうか、記録を取ることができない。という事実に直面します。

Outlook2003以前の時代(もう10年以上前の話ですね)には、メールにWebビーコンが設定されていると、無条件でWebビーコンへのアクセスが発生し、記録を取ることができたのですが、これを悪用したスパム事業者が、メールアドレスが有効かどうか?を調べるために、Webビーコンの仕組みを使ったため、セキュリティ対策として、デフォルトではWebビーコンに反応しないようにした。という経緯があり、それ以来、メールが見られているかどうか?を知る方法として、Webビーコンを使う事はできないようになってしまいました。

スパム事業者に「アドレスが有効かどうか?」を知られるのは困りものですが、訓練メールが見られているかどうかも知ることができないというのは、ちょっと不便ですよね。

でも、条件さえ満たせば、Webビーコンが使える

しかしながら、以下の条件を満たすことができれば、デフォルトでWebビーコンを反応させ、訓練メールに添付したWord文書ファイルが開かれたかどうか?を確認することができるのと同じように、訓練メールを見たかどうか?を知ることが可能になります。

その条件とは、以下の条件です。

1.HTML形式のメールはHTML形式のメールとして表示されるようになっている。

2.信頼済みに設定されているWebサイトからの自動ダウンロードを許可する設定になっている

以上の2つの条件が満たされていると、信頼済みゾーンとして登録されているWebサイトに設置したWebビーコン画像は、メールを閲覧した際に自動的にダウンロードされる、つまり、Webビーコンへのアクセスが発生して、メールが閲覧されているかどうかを知ることができるようになります。

実験してみましょう

では、実際に標的型攻撃メール対応訓練実施キットを用いて、実験して試してみましょう。信頼済みゾーンとして、Webビーコンを設定したWebサーバを登録するには、Internet Explorerのオプション設定で、信頼済みサイトとして、Webビーコンを設置したWebサーバのURLを登録します。

ご自身のパソコン上で、以上の設定を行った上で、キットに付属のメール一括送信ツールの本文を以下のように設定し、訓練メールを自分宛に送ってください。

信頼済みサイトとして、訓練メール本文に記載したURLが登録されている場合は、Webサーバ側に、aptkit.aspxにアクセスした記録が残るはずです。逆に、信頼済みサイトにURLを登録していない場合は、メールを表示した際に以下のように画像データが×印となり、aptkit.aspxにアクセスした記録も残らないはずです。

以上のように、上記の条件が満たされる環境であれば、訓練メール自体が閲覧されているのかどうか?を知ることが可能になります。

企業のネットワーク環境であれば、イントラネットとなる社内ネットワークは信頼済みサイトとして登録されているものと思いますので、イントラネット内にWebビーコン用のWebサーバを設置し、そのWebサーバに aptkit.aspxもしくは、aptkit.phpを設置することで、メールを閲覧したかどうか?と、メールを閲覧した上で、さらにURLリンクをクリックしたか?また、添付ファイルを開いたか?といったことが確認することが可能となるはずです。

訓練メールを閲覧しているのかどうか?を確認したい。という方は、自社のメール閲覧環境が上記の条件を満たしているのかどうかを確認頂き、もし、満たしているようなら、HTML形式の訓練メール本文内に、Webビーコンを設定して訓練メールを 送付するようにしてみて下さい。

なお、訓練メール本文内に設定するWebビーコン用URLには、添付ファイルやURLリンクに設定したIDとは異なるIDを設定するようにして下さいね。そうでないと、メールを閲覧したのか?それとも、添付ファイルを開いたのか(又はURLリンクをクリックしたのか)が分からなくなってしまいますから。

開封確認を取得する場合は情報の取扱いにご注意を

訓練メールを閲覧したかどうか?が記録としてとれるようになるのは、訓練実施担当者にとってはありがたいことですが、訓練を受ける側からすると、自分がメールを見ているかどうかを知られる。というのはあまり面白くないことです。

それゆえに、そうしたデータを大っぴらに公表してしまうと、プライバシーの侵害とも取られかねず、従業員の士気に影響を及ぼす可能性があります。

社内のセキュリティリテラシーが向上しても、社員の士気や、協力意識がそがれてしまっては、それはそれで困りものですよね。

法律的には、社員がいつ、どのメールを閲覧しているのか?を会社側が知ることは問題ないとされていますが、法律的にOKであることと、感情的にOKであることは全くの別物です。

なので、記録が取れるからといって、安易に記録を取り、その記録を安易に扱ってしまうと、別の問題を引き起こしてしまうかもしれない事に留意頂き、開封確認を取る場合は、その扱いにくれぐれもご注意頂きたいと思います。