最近のフィッシング詐欺メールは、見た目も内容も本物そっくり。
メール本文だけでは判断がつかず、リンク先を開いてみて初めて詐欺と分かるというケースも少なくありません。
一方、セキュリティ教育では「怪しいリンクは絶対にクリックしてはいけません!」と強く指導されるのが一般的です。
🌀 しかし、このような声、聞いたことはありませんか?
「不審かどうかなんて、クリックしてみないとわからないよ!」
「クリックするな!なんて言われたら仕事にならないんだけど…」
クリックしたら危険かもしれない、でも、クリックしてみないと詐欺かどうかなんてわからない。
本物かどうか見分けが付かない状況下で、「リンクをクリックするな」と言われても、社員の間には混乱を招くばかりで、下手をすればセキュリティ教育の効果を損なう恐れがあります。
そこで今回は、メールに含まれるURLリンクのクリックの是非について、どう伝えるかを考えていきます。
🛡️安全であると確信が持てないリンクは基本「クリック禁止」——その理由
日常業務では、不審なリンク(安全であると確認が持てないリンク)はクリックしないというルールを徹底すべきです。その背景には、以下のような実際のリスクがあるからです。
| リスクの種類 | 内容 |
|---|---|
| 🧬 マルウェア感染 | クリックするだけでウイルスがダウンロードされる「ドライブバイ・ダウンロード」攻撃など |
| 🎭 偽装サイト誘導 | 本物そっくりのログイン画面でIDとパスワードを盗まれる |
| 🎨 URLの偽装 | 表示されているリンクと、実際のリンク先が異なるケース |
つまり、君子危うきには近寄らずで、「リンクは開かない」ことが最も安全な防衛策であることは間違いありません。
リンク先が不審かどうか、ろくに確認せず、「業務だから」と何も考えずにリンク先にアクセスすることは、自ら被害の種を拾いに行くようなものであるので、このような行為は厳に慎むことを教育によって徹底する必要があります。
その意味で、明らかに不審なURLを訓練メールに設定しているのなら、リンクをクリックしたこと自体をNG行為としてカウントすることは正しいと言えます。
🎯クリックすることを許容する例外
メール本文に本物のメールと同じ内容のものが用いられており、リンク先も正規のURLが使われているなど、見かけ上は全く不審に見えないものも中にはあり得ます。
DNSポイズニングや水飲み場攻撃など、本物のURLを巧みに悪用するような攻撃では、メール本文を見てもリンクを見ても、不審だとは気づかないので、リンクをクリックすることがあっても仕方がないと言えるでしょう。
しかし、標的型攻撃メール訓練において、このような高度な手口をシミュレーションするようなケースは希かと思います。
多くの場合、訓練メールに設定されているリンク先は”通常の業務では使わない”ようなURLを設定しているはずなので、”リンク先はどのようなサイトであるのか?”ということを常日頃から意識する習慣を身につけることが大事であることを、根気強く説いていくことが必要です。
実際の業務においても、フィッシング詐欺メールで使われているURLは”通常の業務では目にしない”URLであることがほぼ100%であるはずです。
いくら見分けが付かないといっても、普段からアクセスしているURLかどうか、また、取引先が使用している正規のURLかどうかくらいはわかるはずで、それすらわからないというのは、普段からアクセス先を意識していないということであるので、そうした社員の言葉を鵜呑みにしてしまってはいけないでしょう。
安全なアクセス先かどうかわからないというのであれば「上長などに確認するべき」で、「いちいち、そんなことをしていたら仕事にならない」とクレームを言ってくる社員に対しては、「そうならないよう普段からアクセス先を意識するべきで、それが業務である」と伝えるべきです。
訓練では、あえてクリックさせることも意味がある
標的型攻撃メール訓練というと、不審なメールかどうかを見分けてもらい、リンクをクリックしないことを正解とするやり方をしているケースが多いですが、”あえてリンクをクリックしてもらう”というやり方もあります。
それは、実際にクリックしてみないと見抜けないほど巧妙なフィッシング手口を体感してもらうなど、実際の手口を体験してもらうことで、経験値として身につけてもらうためです。
✅ 訓練でリンクをクリックさせる理由
- 模擬フィッシングサイトを用意することで、安全に手口を体験してもらう
- メールだけで判断できないケースを体験し、「なぜ見抜けなかったか」を振り返る
- 実際に騙されたときの心理や行動を振り返るきっかけにできる
🚨 ただしここに注意!
結局、”クリックしてみないとわからない”とばかりに、実務でリンクをクリックしてしまう習慣が身についてしまっては本末転倒です。クリックしても問題ないサイトであると確信が持てない限りは、クリックしないことが基本動作であることを徹底して伝えるようにしましょう。
なお、訓練で“あえて開かせる”ときは、「これは安全な環境である」という前提を社員に明示する必要があります。
🧭訓練と実務の“境界線”をどう伝えるか?
実務では「不審なリンクはクリックしてはいけません」と伝えていても、訓練ではあえてリンクをクリックしてもらうようなことをすると、社員の中にはリンクをクリックしてよいのか、それとも、クリックしてはいけないのか、よくわからなくなる。という方も出てきます。
ですので、こうした方が出てきてしまう可能性を考慮し、訓練を実施する際には、訓練と実務の違いを明確に伝える工夫も必要になります。
💡伝え方のポイントは3つ!
①「環境の違い」を強調する
- 実務:本物の攻撃が起こりうる環境
- 訓練:安全なシミュレーション環境
②「行動の目的」を明確にする
- 実務:リスクを避けるための防御行動
- 訓練:本物そっくりの手口を見抜く練習
③「手順」をセットで伝える
📝 例:「訓練メールではリンクをクリックしてOK。ただし、クリック後に表示される内容を確認し、なぜ怪しかったかを振り返る時間を取りましょう」
このように行動の意図と手順をセットで明示することで、社員の混乱を防ぐことができます。
これまで、訓練の実施意図などをあまり社員に伝えていなかったな。と思われたら、訓練の実施前でも後でも良いので、次回の訓練からは、何故訓練を実施したのか、どうしてそのような内容にしたのか?といったことも、種明かしページなどを通じて伝える工夫を是非してみてください。
📚シナリオ例で伝えると理解が深まる
実施意図などを伝える際、想定される被害発生シナリオに沿って内容を伝えると、何故、その訓練を行う必要があるのか、また、どうすれば被害の発生を防ぐことができるのかといったことを理解してもらいやすいかと思います。
✉️ シナリオ例:社内管理者を装ったフィッシング訓練メール
件名:「社内システムメンテナンスのお知らせ」
内容:「システムメンテナンスのため、下記URLからログインしてください」
→ リンク先は模擬サイトで、実際に「偽ログイン画面」が表示される。
→ 訓練の最後に「これは訓練でした」と表示し、なぜ騙されたのかを解説。
🎓 学びにつなげる工夫
- 模擬サイトには「疑わしいポイント」の説明付き
- 訓練後にワンポイント動画解説や振り返りクイズを提供
📝訓練は「安全に間違える」ためにある
✔ フィッシング詐欺は日々巧妙化し、本文だけでは判断できない時代になっています。
✔ だからこそ、訓練ではリンク先を適確に判断する力を安全な環境で養う必要があります。
✔ 社員に伝える際は、訓練と実務の違い・目的・手順をセットで明確に!
標的型攻撃メール訓練を単に「不審なメールを見分けてもらうために行うもの」と捉えるのは勿体ないです。
間違わないことも大事ですが、間違えるとどうなるのかを知ることも大切であり、間違えたらどうなるかを知っているからこそ、間違えないよう注意するようになるということもあります。
あえて間違えるということも含め、訓練を大いに活用し、安易なクリックを行わないようにする文化を是非、育ててください。
