スミッシング詐欺をシミュレーションした標的型攻撃メール訓練の進め方

❓スミッシング詐欺の訓練ってどうやればいいの?

近年、携帯電話やスマートフォンへのSMS(ショートメッセージサービス)を利用したスミッシング詐欺が急増しています。企業としては社員がこれらの脅威に騙されないよう、適切な訓練を実施することが不可欠です。

実際、スミッシング詐欺をシミュレートした標的型攻撃メール訓練を実施したいと考えている企業様もあるかと思います。

本記事では、スミッシング詐欺をシミュレーションした標的型攻撃メール訓練を行う際に必要な準備物と具体的な実施手順について解説します。

✅1. スミッシング詐欺訓練を実施するために必要なもの

  • 訓練用SMS送信システム:安全に模擬スミッシングSMSを大量送信できるシステム。
  • 疑似詐欺サイト(ランディングページ):社員がリンクをクリックした際に遷移する訓練専用のページ。
  • 種明かしページと教育コンテンツ:リンククリック後に表示し、騙された理由と防止策を学べるページ。
  • 社員への事前告知文書(任意):訓練実施を知らせる通知(事前通知する場合)。

スミッシング詐欺に対応した訓練を実施する際に必ず必要となるものとして、携帯電話のキャリア(docomo、au、ソフトバンク、楽天モバイル)が提供するSMSサービスにメッセージを送ることができるサービス(スマートフォンの電話番号にSMSを送信することができるサービス)との契約があります。

SMSは携帯電話網を利用したサービスであり、メールソフトが利用するインターネットのメールプロトコル(SMTPやIMAPなど)とは仕組みが異なります。

このため、通常のメールを送るのと同じ方法ではSMSサービスにメッセージを送ることはできないので、SMSサービスにメッセージを送るサービスとの契約は欠かせません。

また、通常のメールを送るのと違って、SMSサービスにメッセージを送る場合は1通毎に費用がかかります。この点が通常の標的型攻撃メール訓練とは大きく異なるポイントになります。

なお、スミッシング詐欺訓練はスマートフォンが対象になるので、スマートフォンの画面サイズに合わせたコンテンツ設計も必要となります。

✅2. 実施手順

ステップ①:企画と設計

  • ターゲット選定(全社員か特定部署のみか)
  • シナリオ設定(宅配便偽装、銀行を騙る詐欺など)
  • 実施日時の決定

ステップ②:SMS文面と偽サイト作成

  • 実際のスミッシング詐欺を参考に、リアルな文面と偽サイトを準備。

訓練メールはSMSに合わせた内容にする必要がありますが、リンクがクリックされてから先の動きは通常の訓練と同様にWebサイトにアクセスする形となりますので、偽サイト作成に関しては通常のメールを対象とした訓練を実施する場合と同様になります。

ステップ③:訓練実施

  • SMS送信システムで社員のスマートフォンへSMSを配信。

SMS送信システムによっては、全てのスマートフォンに対して同一内容のメッセージしか配信できないものもあります。訓練を実施する場合は、誰がリンクをクリックしたか?を特定するために、送信先毎に異なるID(token)を埋め込んだメッセージを送信できる必要がありますので、SMS送信サービスを選ぶ際は、送信先毎に個別の情報を埋め込んで送信することが可能かどうかを必ず確認してください。

ステップ④:評価とフィードバック

  • クリック率、報告率などのデータを収集。
  • 結果に基づき、各部署や個人にフィードバックと追加教育を実施。

SMSにメッセージを配信する際は、契約したSMS送信システムが提供する方法に則って送信を行うことになりますが、通常の標的型攻撃メール訓練で使用しているメール送信ソフトから訓練メールを送るのと同じ方法でSMSにメッセージを送ることができるサービスを契約すると便利です。

具体的には、SMS送信サービスが指定するメールサーバに対してメールを送ると、SMS送信サービスがスマートフォンにSMSを配信してくれるというものです。

例:メール送信ツールからSMS配信できるMailSMS https://www.cm.com/ja-jp/sms/mail-sms/

企業によっては、マーケティング部門やシステム部門などでこうしたサービスを既に利用しているということもあるかもしれませんので、社内でSMS送信サービスを利用している部署がないかどうか、確認してみると良いと思います。

✅3. 注意すべきポイント

  • 倫理面への配慮:心理的負担を考え、過度に巧妙な詐欺内容は避けましょう。
  • 端末を考慮したコンテンツ設計:画面サイズなどを考慮し、見やすい内容を心がけましょう。
  • 個人情報の保護:訓練を通じて取得するデータの取扱いに厳格な管理を行うこと。
  • 明確なフォローアップ:結果の分析後、必ずフォローアップ研修を実施し、継続的な意識向上につなげること。

SMSの場合は電話番号を扱うことになりますので、BYOD端末など、私有端末を対象に訓練を実施する場合は個人情報データの扱いに細心の注意を払う必要があります。

また、SMSで送信できるメッセージの文字数には上限があり、画面サイズの問題もありますので、SMSで送信するメールの内容、また、リンクをクリックしてアクセスする先となる”種明かし画面”については、訓練実施対象となる端末の画面を考慮した内容とする必要がある点もポイントです。

🎯まとめ

スミッシング詐欺をシミュレーションした訓練は、社員のセキュリティ意識向上に大きく役立ちます。SMS送信サービスとの契約が必要な点が、通常の標的型攻撃メール訓練とは大きく異なる点ですが、それ以外は通常のメールを対象とした訓練を実施する場合とさほど変わりはありません。

訓練メールの送信がサービス固定となっていて、訓練メール送信先のメールサーバとしてSMS配信サービスを選択・指定できない訓練実施サービスを利用されている場合は難しいかもしれませんが、標的型攻撃メール対応訓練実施キットでは送信先のメールサーバを指定して訓練メールを送ることができるため、上述したMailSMSなどと組み合わせることで、スミッシング詐欺をシミュレーションした訓練を実施いただくことが可能です。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示