不定期配信　マウスちゃんとメモリ主任のＩＴ１年生５４

情報の重要性が増す昨今、弊社では情報セキュリティについて、その意義や情報を共有する取り組みを続けています。
担当チームが社内向けにまとめた資料などを基に、軽い読み物を不定期でお届けできればと思いますので、ご笑覧頂ければ幸いでございます。

　「あ、しまった。開いちゃった。」
　イーさんの困ったような声に、マウスちゃん、にんまり笑います。
　「イーさんは今日だったんですね。」
　「うん。今来て、見たとこ。」
　「添付ファイルも開いちゃったんですか？」
　「・・・開いちゃいました。あー、メモリ主任に怒られる・・・」
　「怒られはしないと思いますよ。そのための『標的型攻撃メール訓練』なんですから。」
　

　「実際に標的型攻撃メールを受け取ったと想定して、その時の対応を訓練する、のが『標的型攻撃メール訓練』なんだよね。」
　「メモリ主任の説明ではそうでしたね。『訓練計画をつくります』って、メモリ主任が仰ったのが４月でしたっけ。本当に実施なさるとは・・・」
　「まあ、メモリ主任だからね。でも、訓練だからって、何日から何日の間にこんなメールを送りますよ、って事前に総務から連絡が来てたのに引っかかったのが情けない・・・」
　「訓練だとしても、標的型攻撃メールがそれだけ巧妙だってことじゃないですか？イーさんに来たメールは、誰になりすましてたんですか？」
　「ブック常務。文面だって自然だったし、いつもの指示っぽかったから油断した・・・」
　「私は総務からでした。文章は自然だったんですけど、私にこんな指示が来るなんておかしいな、って思ったので、念のためのつもりで確認したら訓練メールでした。」　

　「そう言えば、確認したときにメモリ主任が仰ってたんですけど、今回は『開封率』より『報告率』を確認するのが目的だってことでしたよ。」
　「報告率？」
　「はい。開封率が、メールや添付ファイル、ＵＲＬを開封した割合で、報告率は開いてしまったことを報告した割合ですって。どんどん攻撃が巧妙になっているんで、開いてしまうのはある程度仕方がないとしても、『あ、やばい』って思った時にすぐに報告してくれないと、対処が遅れてしまって問題が大きくなる可能性が高いからって。だから、報告率や報告にかかった時間を計測して、低い部署には注意を促すのが目的だって仰ってました。」
　「え、じゃあ、すぐ報告しないと！」　

　「そう言えば、『スピアフィッシング』っていう攻撃があるのって、ご存じでした？」
　「スピアフィッシング？」
　「フィッシングって、不特定多数を偽サイトに誘導したりウイルス感染させたりして情報や金銭を騙し取ろうとする詐欺ですよね。でも、不特定多数じゃなくて、この組織のこの人、とか、このグループ、とかターゲットを決めて、その人が引っかかりそうな具体的な仕掛けで誘導して情報などを騙し取ろうとするのが『スピアフィッシング』なんですって。」
　「標的型攻撃とフィッシングを組み合わせた攻撃なんだね。」
　「確かに、いくら知ってる企業でも、普段メールが来ない銀行とか証券会社からいきなりメールが来たら詐欺かもって疑いますけど、メールが来てもおかしくない先を装われたら、疑うのが難しいかもしれませんよね。」

　イーさんとマウスちゃんが話をする隣で、同じ営業のディーさんが「僕に来たメールは凝ってたな・・・」と呟きます。
　「凝ってた？どんなメールだったんですか、ディーさん。」
　「最初は新規のお客様を装ってたんだよね。で、何度かメールでやり取りした後で『ＵＲＬから情報を確認して下さい』っていうメールが来て。で、開けてみたんだけど、開けなくて。あ、訓練だったんだなって。」
　「・・・その話、メモリ主任に報告しました？」
　「あー、その時、ちょうど忙しくて・・・ははは」
　真っ青になるイーさん、それって本当の攻撃なんじゃないですかと叫ぶマウスちゃん、一瞬遅れてあたふたするディーさん。今日もにぎやかな営業部なのでした。