標的型攻撃メール訓練の文例ご紹介! 成功する訓練メール作成のポイントとは 

この記事は約6分で読めます。

いまや企業におけるサイバー脅威として一般的になった標的型攻撃メール。そして、その対策として注目を集める標的型攻撃メール訓練ですが、文面作成でお悩みの方も多いのではないでしょうか。 

本記事では、標的型攻撃メール訓練を成功させるための文面作成のポイントと、文例をご紹介します。 

また、標的型攻撃メールの文面/文例をお探しの方に、標的型攻撃メール 事例・サンプル集を無料で配布しています。ぜひご活用ください。 

標的型攻撃メール訓練についておさらい 

標的型攻撃メールとは

標的型攻撃メールとは、悪意のある第三者が企業や組織に個別に送り付ける、巧妙な騙しの手法が盛り込まれたメールです。

ウイルス感染、情報窃取、不正アクセスなどを目的としています。受信者がうっかり開封やクリックしてしまう仕掛けが盛り込まれており、従業員が適切な知識・リテラシーを持って見破り・対応することが求められます。 

標的型攻撃メール訓練とは 

標的型攻撃メール訓練は、標的型攻撃メールに従業員が引っかからないように、攻撃メールを模したメールを従業員に送信し、従業員がそれを見破り、対応する力を養うものです。 

より詳しくは「セキュリオ」標的型攻撃メール訓練ページで解説しています。ご参照ください。

訓練メール作成と訓練成功のポイント

そんな標的型攻撃メール訓練ですが、送信するメールの内容で困りの方は多いのではないでしょうか。 

早速ですが、以下、訓練メール作成のポイントを件名・文面、ドメイン、送信対象に分けてご紹介します。 

件名・文面 

件名・文面は受信者の興味を引く、開封してしまうような内容にしましょう。 

テーマとしては、顧客からのメール、公的機関からのメール、新卒採用の応募者からのメールなどです。余談ですが、弊社での標的型攻撃メール訓練で、給与管理ツールになりすまして賞与のお知らせの訓練メールが届いた際は、うっかり開封してしまいそうになりました。 

件名・文面作成のエッセンス
  • 【緊急】【重要】【至急】で開封を急かす
  • 顧客、就活生、公的機関など、知らない相手でも開かざるを得ない内容
  • 賞与のお知らせ、講演依頼など、心当たりがなくても興味を引く内容
  • IDやパスワードの期限切れや不正ログインを語る

見破るヒントを受信者に与えるなら、下記を含めてもよいでしょう。

見破るヒント
  • その送信者にしては不適切な言い回し
  • その他、不自然な日本語
  • 日本語では使用されない漢字の使用(东京オフィス など)

ドメイン 

標的型攻撃メールの多くはなりすましですので、実在の機関や社内/社外の関係者に似せたドメインを使用するのが一般的でしょう。ただし、法令や権利の侵害には十分注意しましょう。 

ドメインのエッセンス
  • 実在の機関に似せたドメイン
  • 社内ドメインで、自社社員を装った内容

見破るヒントとしては、下記が考えられます。 

見破るヒント
  • 公的機関なのにフリーアドレスで送信する
  • 問い合わせ先や返信先をメール末尾に記載しない
  • 差出人アドレスと文末署名を不一致にしておく

送信対象 

少し上記二つとは毛色が異なりますが、送信対象も標的型攻撃メール訓練を成功させるために考慮すべき内容です。 

部署によって開封しなければならないメール内容も異なりますし、職位によってもメール開封への責任感も異なってきます。 メールのやりとりを頻繁にする部署とそうでない部署で訓練の頻度を変える、と言うのも検討しましょう。 

こうしたことを踏まえて、標的型攻撃メール訓練をしっかり効果のあるものにしましょう。 

訓練メールの文例になる資料

では、標的型攻撃メール訓練のメールを作成するうえで参考になる資料をご紹介します。 

標的型攻撃メール 事例・サンプル集(LRM株式会社) 

情報セキュリティを専門に、認証取得コンサルティングや、「人」の情報セキュリティ対策を強化するクラウドツール「セキュリオ」の提供をしているLRM株式会社のノウハウが詰まった資料です。 

実際にあった標的型攻撃メールの事例・文面の中から教育的価値の高いものをご紹介しています。 セキュリティご担当者様必携です!

ビジネスメール詐欺の事例集を見る|IPA 情報処理推進機構

IPA情報処理推進機構で確認済のビジネスメール詐欺の事例が紹介されています。
ビジネスメール詐欺とは、読んで字のごとく、ビジネスメールを装ったメールによる詐欺で、標的型攻撃メールの一種です。複数の事例に詳細なレポートが記されていますので、かなり参考になります。 

フィッシング対策協議会ホームページ

実在の企業を語ったフィッシングメールの件名・文面例が掲載されています。やや消費者向けの内容にはなりますが、企業へ向けたフィッシングも十分注意が必要ですので、フィッシング形式の標的型攻撃メール訓練を実施する際には参考にしてください。 

サイバー警察局|警視庁Webサイト

警視庁に寄せられたサイバー攻撃の内容や、「サイバー警察局便り」と称した注意喚起が掲載されています。直接的な参考にはならないかもしれませんが、サイバー攻撃の情勢が広く把握できるため、訓練実施の際のテーマ決めのヒントや他のセキュリティ対策にお役立ていただけます。

文面作成で困らない!標的型攻撃メール訓練ならセキュリオ

LRMのご提供するセキュリティ教育クラウド「セキュリオ」では、30種類以上の豊富なテンプレートから文面を選び放題、もちろん、カスタマイズやオリジナルテンプレートの作成も可能です。 

他にも、eラーニング毎週配信のミニテスト従業員のセキュリティ意識・リテラシーを向上・維持することができます。 

まずは無料でお試しください。

まとめ

標的型攻撃メール訓練の文例について解説しました。実際の攻撃メールを参考に、しっかりポイントを押さえて訓練メール作成しましょう。 

情報セキュリティ対策セキュリティ教育
タイトルとURLをコピーしました