訓練メールなんて開いてないけどって言われてしまったんですが?

標的型攻撃メール訓練を実施した際によくあるトラブルとして、訓練メールに騙されてしまったという記録が得られた方から、「訓練メールなんて開いていないですけど」といったクレームが寄せられることがあります。

この原因に関する知識を持ち合わせていない方からすると、訓練を実施しているシステムの不具合なんじゃないか?と思われるかもしれません。

❓訓練メールに騙されてしまった人を特定する仕組みとは?

訓練を実施しているシステムが訓練メールに騙されてしまった人を特定する仕組みは、Webサーバーにアクセスが有ったかどうかを元に判定をしていることが一般的なため、アクセスがあれば仕様通りに記録が行われます。

つまり、これは訓練を実施しているシステムの不具合ではなく、訓練メールを開いていない人からアクセスがあった、正確に言うと、訓練メールを開いていない人に紐付いていたIDで、Webサーバーにアクセスがあったということが原因になります。

❓では、どうして記録が発生したのか?

訓練メールを開いていないのになんでアクセスがあるの?それこそ訓練システムの不具合なんじゃないの?と思うかもしれませんが、実際にはそうではありません。

これは多くの方がご存じないことなのですが、セキュリティ対策ソフトやセキュリティ対策システム、また、セキュリティ対策サービスの多くでは、メールやドキュメント内に含まれているURLが不審なサイトでないかどうかをチェックするということが行われています。

つまり、メールを送受信したり、ドキュメントを開いたりすると、その中に含まれているURLリンクをセキュリティ対策ソフトなどが拾って、自社のサーバーなどからそのURLにアクセスするということが行われています。

例えば、あるUTMでは、UTMを通過するメール内に記載されているURLを拾って、片っ端からアクセスするということを行っていたりします。

そんなUTMを導入している企業で訓練を実施するとどうなるか?というと、社員に送った訓練メール内に記載されているURLに対し、UTMがアクセスを行うので、訓練を実施しているシステムからすると、社員全員が訓練メールを開いたかのような記録が取れることになります。

このような挙動は今では多くのセキュリティ対策システムやサービスで行われているのですが、このような挙動を行っていることは公には謳われておらず、マニュアルなどにも一切記載されていませんので、多くの方は、このような挙動があることを知らないというのが実際です。

🚨リンク先には機械によるアクセスがあることを知っておく

セキュリティ対策システムやサービスを提供している側も、こうした仕様についてはブラックボックスとして扱っているため、問合せをしても回答をいただけることはほとんどありません。

あなたが訓練実施担当者であるなら、訓練メールを開くのは人だけではなく、システムが開くケースもあるのだということを、この機会に知っておいていただきたいと思います。

また、訓練を業者に委託される場合は、こうした挙動があることについて知識を持っていて、こうした点を考慮に入れて訓練を実施できるだけの経験を持っていることを確認されることをお奨めします。

得られた結果について、人が訓練メールを開いたことによる結果なのか、それとも、システムが訓練メールを開いたことによる結果であるのかを適切に判別できないと、正しい結果が得られないことは言うまでも無いことです。

このための具体的な判別方法については、また別の機会に取り上げたいと思いますが、自社で導入しているセキュリティ対策システムなどが訓練実施結果に大きな影響を及ぼすということは、訓練を実施する際の考慮点として覚えておいていただきたいと思います。

投稿者アバター
キットマスター 代表
標的型攻撃メール対応訓練実施キットの開発者・運用者であり、現役の標的型攻撃メール訓練実施担当として、10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示