新型コロナウイルス禍で急増したテレワーカーを狙うサイバー攻撃が後を絶たない。特に増えているのがメールを使った標的型攻撃やフィッシング詐欺だ。フィッシング詐欺対策の業界団体であるフィッシング対策協議会によると、フィッシング詐欺の報告件数は増加の一途をたどり、2020年12月には過去最多の3万2000件超を記録したという。
テレワーカーのパソコンがマルウエア(コンピューターウイルス)などで乗っ取られると、それを踏み台にして企業ネットワークに侵入される恐れがある。パソコンに保存した業務データを盗まれる危険性もある。企業としては何とか対策を打ちたいところだ。
その1つが、社員のセキュリティー意識を高める「標的型メール訓練」である。多くの企業が実施している。だが、標的型メール訓練には否定的な意見もある。本当に役立つのだろうか。
「この件に関わった人間すべてを解雇しろ」
標的型メール訓練は、標的型攻撃メール訓練やフィッシング模擬訓練などとも呼ばれる。偽の攻撃メールを社員に送ってサイバー攻撃を体験させることで、セキュリティー意識を向上させる訓練だ。
具体的には、業務に関係すると見せかけたメールにリンクを仕込むことが多い。受信者がそのリンクを不用意にクリックすると、訓練であることを明かすWebサイトに誘導される。リンクが仕込まれたファイルが添付されている場合もある。
リンクには識別用の文字列が含まれているのでクリックした社員を特定できる。クリックした社員には、セキュリティーのトレーニングなどが課せられる場合もある。
コロナ禍で需要が高まる標的型メール訓練だが、米国では「炎上」が報告されている。
例えば2020年12月、ボーナスを支給しないとしていたある企業の社員に訓練メールが送られてきた。メールには「650ドルのボーナスを支給する。受け取りたい人はメール中のリンクをクリックして必要な情報を入力するように」といった内容が書かれていたという。
その通りにしたおよそ500人の社員は、ボーナスの代わりにセキュリティーのトレーニングが与えられた。このことが明らかになり、その企業は批判にさらされた。
2020年9月にも同様のことがあった。ある新聞社が、5000ドルから1万ドルのボーナスを支給するという訓練メールを送ったのだ。喜んでリンクをクリックした社員の目に飛び込んできたのは「Oops!You clicked on a simulated phishing test!(おっと!フィッシング模擬テストをクリックしました!)」という文字だったという。
社員の1人は「この件に関わった人間すべてを解雇しろ」とTwitterに投稿して話題になった。皮肉にも、社員にとって良かれと思って実施した訓練が、社員の憎悪を招くことになったのだ。
