なりすましメールに騙されない社員を育てるには？
～PSATで効率的なセキュリティー意識向上を～

昨今流行りのChatGPTのような生成AIは、人間が書いたかのような美しい文章を提供してくれるため、非常に便利です。しかし、このようなAIが標的型攻撃やビジネスメール詐欺などの攻撃に悪用されると人々はますます騙される可能性が高くなります。今回は、巧妙化する手口に騙されないために必要な、セキュリティー教育のお話です。

近年、人を狙った攻撃が増加しています。警察庁と金融庁の報告^※1では、フィッシングによるものとみられるインターネットバンキングでの預金の不正送金被害は  2022年8月下旬から9月にかけて被害が急増して以来、落ち着きを見せていましたが、2023年2月以降、再度被害が急増しています。2023年11月末における被害件数は5,147件、被害額は約80.1億円となり、いずれも過去最多を更新しています。

フィッシング詐欺を含め、人を狙った攻撃手法の例としては下記のものがあります。

偽装したWebサイトやメールを使い、個人情報やパスワードなどを騙し取る手口

特定の企業や組織、個人を狙ったメールで、偽装されたメールアドレスや巧妙な文章で添付ファイルを開かせたり、URLにアクセスさせたりするように誘導し、機密情報やアカウント情報などを窃取しようとする手口

取引先や自社の経営層などを装い、金銭や機密情報などを騙し取る手口

なりすまし電話でパスワードを聞き出したり、ショルダーハッキングを行ったりするなど、人間の心理的な隙や信頼関係を悪用し、情報を盗み出す手口

出典：独立行政法人情報処理推進機構「情報セキュリティ10大脅威2024 」  

ビジネスメール詐欺による被害金額のデータとして、IPAが公開している資料^※2では、米国連邦捜査局（Federal Bureau of Investigation：FBI）によると、2016 年 6 月から 2021 年 12 月までに、 米国インターネット犯罪苦情センター（Internet Crime Complaint Center：IC3）を含む複数の情報源に報告されたビジネスメール詐欺の発生件数は、全米50州と177か国で 241,206件、被害総額は約433億米ドル（未遂を含む）にのぼっています。

1件あたりの平均被害額は約18万米ドル（日本円では約2,300万円）にもなり、特に中小企業にとっては大きな打撃になることが想像できます。

セキュリティー教育においては、従業員のセキュリティーレベルの現状を把握することが大切です。測定したレベルを基にどういったトレーニングを行うか計画を策定します。

トレーニングや啓蒙コンテンツで従業員のセキュリティー意識の向上を狙います。また、怪しいメールが届いたら、開かずに管理者に通報するという正しい行動を意識づけることも重要です。

行われてきたトレーニングや訓練結果を基に、従業員に適したサイクルを再計画します。 

従業員全員がセキュリティー意識を持ち、もしもの際に正しく行動・対処できるようにすることが大切です。

こうしたセキュリティー意識向上トレーニングを行うツールとして注目されているのが、「Proofpoint Security Awareness Training」（以下、PSAT）です。

これまでも、標的型訓練メール訓練は数多くの企業で実施されてきましたが、従来の訓練手法では下記のような課題がありました。

• 訓練が形骸化してしまっている
• 実施するための管理者の負担が大きい
• 効果測定が難しい

• ゲーム形式やドラマ仕立てなど、受講者が飽きることのない多彩な教育商材
• 訓練メールのテンプレートが多数用意されており、管理者の負担軽減
• 怪しいメールの通報がワンクリックで可能
• ダッシュボードで個人のトレーニング状況や標的型訓練結果を可視化

PSATを導入した後、フィッシングクリック率の減少や怪しいメールの通報率が向上したという結果があり、従業員のセキュリティー意識の向上を着実に支援します。  

• ※1：金融庁「フィッシングによるものとみられるインターネットバンキングによる預金の不正送金被害が急増しています。」（2024年1月24日）
  
• ※2：独立行政法人情報処理推進機構「ビジネスメール詐欺（BEC）の特徴と対策」