「自分はクリックしていない」と言われたら?—訓練メールのクリックログと本人の言い分が食い違う理由とは?

標的型攻撃メール訓練を実施した際、

クリックログには記録が残っているのに、本人に確認すると「自分はクリックしていない」と主張される。
——そんな経験はありませんか?

実はこれ、訓練を実施した組織では非常によくある現象です。
では、なぜこのような食い違いが発生するのでしょうか?

📌クリックログと本人の認識がずれる主な理由

① 記憶違い

「たまたま何気なくタップしてしまった」「忙しくて覚えていない」
訓練メールは、日常業務の中で自然に混ざるよう設計されているため、本人が気づかないうちにクリックしてしまっていることがよくあります。

② 他人による代行クリック

「本人が離席中に他の人が代理でメールチェック」「社内共有PCの使用」など、
操作者=本人でないケースも稀に存在します。

また、本人が注意喚起のためにSNSやメーリングリストで訓練メールそのものを共有してしまい、それを見た他の人がクリックしてしまうケースもあります。

③ メールセキュリティ製品などによる自動クリック

ウイルススキャンやリンク安全性の確認を目的に、メールセキュリティソフトをはじめとするセキュリティ対策製品やセキュリティ対策サービスが自動的にリンク先にアクセスを行う設定になっていることがあります。

ちなみに、このような挙動は製品仕様として公開していないケースが多く、使用している製品がどのような条件でリンク先にアクセスを行うのかなどはメーカーに問い合わせても答えてもらえないことがほとんどのため、製品やサービスによる自動クリックであるかどうかは、クリックログとして取得できる情報から独自に判断するしかないのが実状です。

④ スマホやタブレットなど複数端末による混乱

「スマホで開いたが、その記憶が曖昧」「誤ってタップしたのがパソコンではなかった」など、
使用端末が複数あると認識がずれやすくなります。

実際、弊社が行った訓練では過去に、営業先からの帰社後に、パソコンに届いた訓練メールからリンクをクリックしていた方が、そのことを忘れて、自分が訓練メールを確認したのは帰社中であり、リンクはクリックしていないと反論してきたケースがありました。(その後、クリックログの記録を提示して、本人の記憶違いだったことが判明)

⑤ セキュリティ機能のリンク展開

リンク先へのアクセスを社内プロキシ経由で行っている関係で、アクセス元のIPアドレスが全て同じとなってしまうことで、クリックした人を特定しづらくなる場合があります。

🧪 では、ログは信頼できるのか?

クリックログは通常、下記の情報とセットで記録されます。

  • クリックしたタイミング
  • アクセス元のIPアドレス
  • ブラウザのUser-Agent(端末やOSの情報)

このため、ある程度の精度で本人操作と推定できますが、
場合によっては完全に本人による操作と断定するのは難しいケースも存在します。

🗣 本人への確認は「問い詰める」のではなく「気づきの対話」に

本人による操作であると断定できないケースでは、本人に確かめるしかないのですが、

「あなた、クリックしましたよね?」
このような聞き方では、本人の防衛反応を引き出してしまい、対話の意義が失われてしまいます。

おすすめは、「こういう記録が残っているのですが、何か心当たりはありますか?」と対話を開くこと。
そこから、「あ、スマホで触っちゃったかも…」と気づくきっかけになることもあります。

クリックログは「犯人探し」の道具ではなく、セキュリティ感度を高めるきっかけとして活用しましょう。

🛠 確認精度を高めるには?

より正確な分析を行うには、以下のような手段も有効です。

  • 複数ログの突合(開封ログ+クリックログ)
  • User-AgentやIPアドレスで自動クリックを除外
  • 訓練メール内にダミーのリンク先を設定する

セキュリティ対策製品やセキュリティ対策サービスでは、訓練メール内に含まれるリンクがダミーかどうかにかかわらずアクセスを行います。

この挙動を逆手に取り、訓練メール内に人の目には見えないダミーリンク(クリックできないリンク)を設定しておくことで、ダミーリンクにアクセスがあったらそれはロボットによるアクセスであると判断することができます。

このような情報を元に分析を行うことで、より正確な分析を行うことが可能になります。

✅ データと対話で築くセキュリティ文化

「クリックしていない」と言われたとき、
それは本人の防衛本能かもしれませんし、本当に心当たりがないだけかもしれません。

重要なのは、その発言を「嘘」と決めつけるのではなく、行動を見直す契機と捉えること。

訓練は「成果を測る場」というだけではなく、気づきと対話のきっかけを提供する場でもあります。
クリックの有無に一喜一憂するのではなく、「どうすれば気づけたか?」という視点を社員と共有し、「気づく力」を育てるきっかけに繋げていきましょう!

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示