💡標的型攻撃メール訓練にも「種類」があるって知ってましたか?
「標的型攻撃メール訓練」と聞いて、多くの方が思い浮かべるのは「訓練メールの文面内に記載されているリンクをクリックさせるタイプ」ではないでしょうか?
一口に標的型攻撃メール訓練と言っても、リンクをクリックさせるタイプばかりが訓練ではありません。他にも以下のように多様な手口を模した訓練の種類があり、複数の種類を組み合わせて実施するケースもあります。
- 📎 添付ファイル型(メールに添付したファイルを開かせるタイプ)
- 🎣 フィッシング詐欺型(フィッシングページに誘導してIDなどを入力させるタイプ)
- 🔗ファイルダウンロード型(ファイルをダウンロードさせて実行させるタイプ)
- 📱 スミッシング型(SMS詐欺型)(ショートメッセージから詐欺ページなどに誘導するタイプ)
- ☎️ サポート詐欺型(指定の連絡先に連絡するよう誘導するタイプ)
- 🧾 やり取り型(BEC模倣型)(やり取りによって指示通りに行動させようとするタイプ)
- 🤝ソーシャルエンジニアリング型(巧みな仕掛けによって指示通りに行動させようとするタイプ)
何故、このような種類の訓練があるか?というと、それは”攻撃者が繰り出してくる攻撃の手口の種類”が様々であるから。
攻撃者は目的を達成することができるのであれば、思いつく限り、ありとあらゆる手段を使って攻撃を仕掛けてきますので、これらの手口をシミュレート(再現)する訓練も、様々なパターンが存在するというわけです。
では、数ある訓練の中から、自社ではどのタイプの訓練を実施することを選ぶべきなのでしょうか?
そのヒントは、企業の環境や業務の特徴にあります。
🎯なぜ訓練の「バリエーション」が必要なのか?
攻撃者は、社員が油断している部分を突いてきます。
しかも、攻撃手口は年々進化しており、過去に使われた訓練の形式だけでは備えきれません。
最近では、以下のような複合型の攻撃も報告されています。
📧 メールに偽の請求書を添付 →
🔗 開くとフィッシングサイトに誘導 →
👤 さらに「電話サポート」を装って情報を詐取
このような現実に備えるため、訓練も複数の観点から設計していく必要があります。
🧭実施すべき訓練の種類を決める3つの観点
✅【1】業務環境と使われているツール
業務上、自社ではどのような連絡手段が使われているかを確認しましょう。
よく使われている連絡手段ほど攻撃者に狙われる可能性が高いと言えるので、連絡手段の狙われやすさは標的型攻撃メール訓練実施方法を考える上での一つの観点となります。
| 業務状況 | 推奨される訓練の種類 |
|---|---|
| ファイルのやりとりが多い | 添付ファイル型 |
| 外部とのやりとりが頻繁 | やり取り型、フィッシング型 |
| モバイル端末で業務することが多い | スミッシング型 |
✅【2】社員のセキュリティリテラシー
過去の訓練でのクリック率や反応率などを分析し、弱点を補う訓練を選びましょう。
例:リンク型での誤クリックが多かった→再度リンク型を。
例:社員が「電話すれば安心」と思っている→サポート詐欺型を。
自社の社員が騙されてしまいやすい攻撃の手口がわかっている場合は、それらの手口を用いて攻撃を仕掛けられた場合は実害に繋がりやすいと考えられることから、手口への対抗策として訓練の実施を考えることも一つの観点となります。
✅【3】過去のインシデントや業界傾向
実際に発生したインシデントや、同業他社での攻撃事例を参考にすると、より実践的な訓練設計が可能になります。
身近で実際にあった攻撃の手口は”自分事”として捉えてもらいやすいので、実際の事例を題材に訓練の実施を考えるのは、かなり有効な方法です。
”攻撃を受けやすいツール”、”社員が騙されてしまいやすい手口”、”身近で実際にあった事例”の3つの観点を交えて考えると、実施すべき訓練をだいぶ絞ることができるのではと思います。
🧰主な訓練タイプとその特徴まとめ
| タイプ | 特徴 | 想定される被害 | 向いている部門 |
|---|---|---|---|
| 🔗リンククリック型 | URLを踏ませる | フィッシング詐欺 | 全社員 |
| 🤝ソーシャルエンジニアリング型 | 用意したプログラムを実行させる | ランサムウェア感染 | 全社員 |
| 📎添付ファイル型 | Wordなどを開かせる | マルウェア感染 | 経理・総務など |
| 🎣フィッシング型 | ログイン画面に誘導 | アカウント乗っ取り | 情報システム部など |
| 📱スミッシング型 | SMSを活用 | モバイル誤操作 | 営業・出張者など |
| ☎️サポート詐欺型 | 偽の警告で電話誘導 | 通信費詐欺・情報漏洩 | テレワーク利用者など |
| 🧾やり取り型 | 会話で信頼関係を構築 | 標的型攻撃(BEC) | 管理職・役員など |
もう何年も訓練を実施しているような組織であれば、複数のタイプを組み合わせたり、これまでに実施したことがない種類の訓練を実施することで、これまでに実施した訓練ばかりが攻撃の手口の全てではないということを知ってもらう良い機会になるかと思います。
🔄訓練は“1回きり”ではなく“計画的なローテーション”が効果的
攻撃手法の多様化に対応するためには、訓練も「一度で終わり」にしないことが重要です。
🧩 ステップ1:リンククリック型で基本を確認
🧩 ステップ2:添付ファイル型で感染リスクを体験
🧩 ステップ3:やり取り型で実戦的な感覚を養う
このように段階を踏んで、社員のリテラシーと警戒心を高めていく設計が理想的です。
これまでリンククリック型の訓練しか実施したことがなく、訓練実施担当者自身が他の手口の詳細についてあまり知識を持っていないという場合は、攻撃者の手口について深く知るという点で、リンククリック型以外の訓練の実施方法について考えるだけでも非常に有用なことだと思います。
💡訓練実施に慣れていない企業はリンククリック型から始めよう!
訓練のバリエーションが幾つもあることはわかったが、色々ありすぎて結局どうすればいいかわからない!という方もいらっしゃるかもしれません。
そんな場合は、訓練メールに記載されているURLと実際のリンク先が異なる、HTML形式のメールを利用したリンククリック型の訓練から始めることをお奨めします。
目に見えるURL(メールに記載されているURL)と、実際のリンク先のURLが異なる形式は、最もよくある攻撃メールのパターンであり、実際のリンク先を確認する方法をきちんと理解していれば、不審なメールだとすぐに気づくことができるケースは多いからです。
これは不審なメールかどうかを見極める基礎中の基礎でもあるので、このスキルが社員に浸透していない会社はまず、このスキルを浸透させることを目指すべきです。
✨正しい訓練選びが、組織の防御力を高める
標的型攻撃メール訓練は、「種類が多くてややこしい」と思われがちですが、
自社の環境・社員の特性・過去の傾向を見直すことで、必要な訓練は自然と見えてきます。
🔸 大切なのは、「完璧に騙されない社員」を育てることではありません。
🔸 「おかしいかも」と気づいて止まれる社員を一人でも増やすことです。
これまで年に1度しか訓練を実施していなかったという組織も、攻撃者が繰り出してくる手口の種類がこれだけあると、年に1度だけの標的型攻撃メール訓練では足りないと感じるはずです。
訓練を実施することばかりが全てではありませんが、現状でこれだけの手口があり、今後もますます手口の種類が増加・複雑化するということを社員に伝えることは重要なことだと思います。
そのために、多角的な訓練設計、社員教育設計をぜひ検討してみていただけたらと思います。
