フィッシング詐欺を模した訓練が実施したい!
近年、業務で日常的に使われるクラウドサービスを標的としたフィッシング詐欺が急増しています。特に、業務基盤に組み込まれているような有名どころのサービスは、狙われやすい代表例です。
このため、フィッシング詐欺を模した標的型攻撃メール訓練を実施したい!と考える企業様も多いと思いますが、
✅ そもそもフィッシング詐欺の訓練ってどうやればいいの?
✅ フィッシング詐欺のページってどうやって作るの?
✅ リンククリック型の標的型攻撃メール訓練と何がどう違うの?
といった疑問が湧き、何を頼りにどうやればいいのかわからないという方も少なくないのではと思います。
そこで本記事では、ChatGPTを活用してログイン画面に似せた模擬のフィッシングページを作成し、フィッシング詐欺型の標的型攻撃メール訓練を実施する方法についてご紹介します。
🚨まず確認:模倣ページの使用は「訓練目的」に限る
最初に、必ず押さえておくべき重要なポイントがあります。
🔸模擬のフィッシング画面の使用は、以下の目的・範囲に限定してください:
- ✅ 教育・研修目的のみに使用
- ✅ 不特定多数の第三者への公開禁止(指定したアクセス元からのアクセスのみ許可)
- ✅ 本物と混同されないように明記
- ✅ 他社のロゴや商標は使用しない
- ✅ 訓練対象者に後日ネタばらしと説明を行うこと
公開するフィッシング詐欺ページが訓練用であるか本当の詐欺ページであるかは、ページ表面を見ただけではわかりません。
なので、たとえ訓練用であっても、フィッシング詐欺ページを不特定多数に公開してしまうことは、本当にフィッシング詐欺を行っていると誤解されてしまいかねないため、社内からのアクセスのみ許可するなど、全く無関係の人が訓練用のフィッシング詐欺ページにアクセスすることはできないようにすることがフィッシング詐欺の訓練実施時の基本となります。
また、フィッシング詐欺訓練の内容によっては、実際に存在するサービスに似せた画面を用意することもあるかもしれません。この場合、権利侵害などの違法利用や誤解・混乱を招くことを避けるため、訓練実施前に法務・セキュリティ部門との事前相談を行い、懸念される問題が無いかどうかを確認しておくことを強く推奨します。
🤖ChatGPTで模擬ログイン画面を作ってみる
フィッシング詐欺の訓練を行うに際して、まず突き当たる壁が、「模擬のログイン画面(フィッシング詐欺の画面)」をどうやって作る?という事かと思います。
例えば、”Salesforceのログイン画面みたいなログイン画面を作りたい!”と思っても、HTMLに詳しくないと、さすがにハードルが高すぎて挫折してしまうかもしれません。
しかし、ChatGPT(ChatGPTでなくてもいいですが)を使えば、HTMLに詳しくなくても、あっという間に模擬のログイン画面のHTMLを生成できます。
例えば、以下のようなプロンプトを入力してください:
「Salesforceのログイン画面に雰囲気が似ている模擬的なログイン画面のHTMLコードを作成してください。商標やロゴは使用せず、教育目的で使用することを前提とします。」
すると、以下のようなHTMLコードが得られます。
<!DOCTYPE html>
<html>
<head>
<title>模擬ログイン画面(訓練用)</title>
<style>
body { font-family: sans-serif; background: #f4f6f9; text-align: center; padding: 50px; }
.login-box { background: white; padding: 20px; margin: auto; width: 300px; box-shadow: 0 0 10px #ccc; border-radius: 8px; }
.login-box input { margin: 10px 0; width: 90%; padding: 10px; }
h2 { color: red; }
</style>
</head>
<body>
<div class="login-box">
<h2>※訓練用ページです※</h2>
<form method="post" action="/logdata">
<input type="text" name="username" placeholder="ユーザー名"><br>
<input type="password" name="password" placeholder="パスワード"><br>
<input type="submit" value="ログイン">
</form>
</div>
</body>
</html>
このコードをコピーしてメモ帳などのテキストエディタに貼り付け、”test.html”などと名前を付けて保存し、Webブラウザにドロップすると、以下のページが表示されます。
色や文字はHTMLコードの該当部分を適宜変更すれば自由に変えることができますので、流れとしては、ChatGPTでベースとなるHTMLコードを生成し、生成されたコードをカスタマイズして好みのページに仕上げるということになります。
特に修整しなくてもよければ、このまま使うこともできるので、誰でも簡単にページを作成できてしまうことがご理解いただけるのではと思います。
🔒ページ作成時のポイント:
- 許可無く他社のロゴや名称は使わない
- 実在のドメイン名は含めない
🛠模擬ページの設置
生成した模擬ページを実際に社内で使うには、以下の環境があれば十分です。
| 設置方法 | 備考 |
|---|---|
| 社内Webサーバー | ApacheやIISなどでOK |
| ローカルイントラネット | 外部公開しない構成 |
| HTTPS推奨 | 自己署名証明書で可 |
| アクセス制限 | IP制限、VPN内限定 など |
ログインボタンが押されたら種明かしページが表示されるようにするには、生成されたHTMLコード内の「action="/logdata"」の/logdataの部分を、種明かしページのURLに変更すればOKです。
模擬ページで入力されたIDなどを取得する必要がある場合は、模擬ページからPostされたデータを処理して種明かしページを表示するPHPプログラムなどを用意してください。
また、事業所が複数あったり、出向先や外出先からアクセスする社員がいるなど、模擬ページを社外の環境に設置する必要がある場合は、アクセス元によるアクセス制限の設定は必須になりますが、社内環境に設置する場合と同様に、社外の環境(インターネット)にあるWebサーバ上に模擬ページを設置すればOKです。
📝訓練メールの作成例
訓練メールについては、以下のような文面で作成すれば良いでしょう。
リンク先にはWebサーバに設置した模擬ページのURLを設定します。
📧件名:アカウントの認証が必要です
社内システムとの連携に伴い、アカウントの確認が必要となっています。
以下のリンクよりログインを行ってください。
👉 ログインはこちら
📊ログの取得とフィードバック方法
訓練用の模擬ページに入力された情報を使って、以下のような対応ができます。
但し、以下のようなことをするには、PHPプログラムを用意したり、JavaScriptをページ内に設定するといった対応が必要になります。
- ログインID・時刻を記録(※パスワードは保存しない)
- 入力直後に警告メッセージ+学習ページに自動リダイレクト
- 集計データからレポート作成(入力率、アクセス率など)
PHPプログラムなどは用意できないというような場合は、Webサーバのログ取得機能を利用して、各ページへのアクセスログ情報から、誰が模擬ページにアクセスしたか?をカウントすることになります。
さらに、訓練後にはフォローアップ動画やミニテストで理解を深めることが推奨されます。
📌実施上の注意点まとめ
| 観点 | 内容 |
|---|---|
| 法的観点での確認 | 商標・著作権を侵害しない、事前承認を取る |
| 社内調整による合意形成 | 情シス・法務・総務と共有しておく |
| ネタばらしによる周知 | 訓練終了後に必ず実施目的と学びを共有 |
| 継続しての訓練実施 | 単発で終わらず、年2〜3回の継続実施を |
URLリンクをクリックしたら種明かしページが表示されるリンククリック型の訓練と異なり、フィッシング詐欺型の訓練は模擬の入力ページがURLリンクと種明かしページの間に挟まる分、準備が複雑になる、また、本物のフィッシング詐欺と勘違いされないようアクセス制限を設けるなどの手間がかかりますが、一度仕組みを作ることができてしまえば、実施自体はさほど難しいものではありません。
💡模擬ページの作成が難しい場合は…
「HTMLの作成や設置が大変…」
「誰がアクセスしたか?の情報を収集する方法がわからない…」
技術者ではない方の場合は、ChatGPTで模擬ページを作成することはできても、その先の設定作業について、不安に感じてしまう方もいらっしゃるかもしれません。
あまり詳しい手順を書いてしまうと、本物のフィッシング詐欺を助長しかねないため、ここではざっくりとしたことしか書けないのですが、 **「標的型攻撃メール対応訓練実施キット」**を利用してフィッシング詐欺型の訓練を実施する場合は、ChatGPTが生成したHTMLファイルをキットが提供するWeb画面からアップロードするだけで、フィッシング詐欺型の訓練を実施することができます。
キットのマニュアルに従って、若干の修整を行う必要はありますが、模擬ページに入力された情報の処理はキットのWebサーバ側で行ってくれるようになっていますので、ご自身でPHPプログラムなどを用意する必要もなく、手軽に模擬ページを使ったフィッシング詐欺型の訓練を実施することができるようになっています。
プログラムを作る必要も無く、ChatGPTが生成したHTMLファイルを利用してフィッシング詐欺型の訓練が実施できるというのは、HTMLコードを作成するための人手や時間が無いという方にとっては嬉しい話なのではと思います。
💡ChatGPTが生成したHTMLファイルをキットで使うには?
標的型攻撃メール対応訓練実施キットが標準で提供している「URL転送サービス」を用いると、ChatGPTで生成したフィッシング詐欺訓練用のHTMLを若干修正するだけで、手軽にフィッシング詐欺の訓練を実施することができます。
修整は簡単。<form method=”post” action=”/logdata”>の記述を修正することと、<input type=”hidden” name=”macro” value=”on”>の行を追加してファイルを保存し、「URL転送サービス」のWebサイトにファイルをアップロードするだけです。
先の模擬ログイン画面の例であれば、修正後のHTMLコードは以下の通り。赤字部分が修正箇所です。このファイルと、種明かしページのファイルをURL転送サービスにアップロードし、リンク先となるURLを取得する設定を行えば、フィッシング詐欺の訓練を実施する準備が完了します。
<!DOCTYPE html>
<html>
<head>
<title>模擬ログイン画面(訓練用)</title>
<style>
body { font-family: sans-serif; background: #f4f6f9; text-align: center; padding: 50px; }
.login-box { background: white; padding: 20px; margin: auto; width: 300px; box-shadow: 0 0 10px #ccc; border-radius: 8px; }
.login-box input { margin: 10px 0; width: 90%; padding: 10px; }
h2 { color: red; }
</style>
</head>
<body>
<div class=”login-box”>
<h2>※訓練用ページです※</h2>
<form method=”post” action=”%URL%”>
<input type=”text” name=”username” placeholder=”ユーザー名”><br>
<input type=”password” name=”password” placeholder=”パスワード”><br>
<input type=”hidden” name=”macro” value=”on”><br>
<input type=”submit” value=”ログイン”>
</form>
</div>
</body>
</html>
この程度の手間で済むのであれば、HTMLに関してはあまり詳しくないという方でも、自力でフィッシング詐欺の訓練ができそうだと感じていただけるのではないでしょうか?
✍おわりに
フィッシング詐欺の脅威はますます高度化・巧妙化しています。
社員のセキュリティ感度を高めるには、「疑似体験による気づき」が何より効果的です。
模擬ログイン画面を活用した訓練は、その第一歩として非常に有効な手法です。
安全に、そして着実に、セキュリティ意識の向上を目指しましょう。
フィッシング詐欺型の訓練なんて、どうやって実施したら良いかわからないという方は、是非、「標的型攻撃メール対応訓練実施キット」の無料トライアルを利用して、フィッシング詐欺型の訓練ができるかどうかを確かめていただければと思います。
悪用を防止するため、匿名の方にはお答えすることはできませんが、トライアルの方も含め、キットのユーザー様であれば、フィッシング詐欺の訓練を実施するには具体的にどうすれば良いか、より詳しく回答・ご説明をさせていただくことができますので、フィッシング詐欺の訓練を実施したいとお考えの企業様は、是非、キットの活用をご検討いただけたらと思います。
