なりすましメールに騙されない社員を育てるには?
~PSATで効率的なセキュリティー意識向上を~
- お役立ち情報
2024年07月04日
- セキュリティー
昨今流行りのChatGPTのような生成AIは、人間が書いたかのような美しい文章を提供してくれるため、非常に便利です。しかし、このようなAIが標的型攻撃やビジネスメール詐欺などの攻撃に悪用されると人々はますます騙される可能性が高くなります。今回は、巧妙化する手口に騙されないために必要な、セキュリティー教育のお話です。
目次
人を狙った攻撃の種類
近年、人を狙った攻撃が増加しています。警察庁と金融庁の報告※1では、フィッシングによるものとみられるインターネットバンキングでの預金の不正送金被害は 2022年8月下旬から9月にかけて被害が急増して以来、落ち着きを見せていましたが、2023年2月以降、再度被害が急増しています。2023年11月末における被害件数は5,147件、被害額は約80.1億円となり、いずれも過去最多を更新しています。
フィッシング詐欺を含め、人を狙った攻撃手法の例としては下記のものがあります。
フィッシング詐欺
偽装したWebサイトやメールを使い、個人情報やパスワードなどを騙し取る手口
標的型攻撃メール
特定の企業や組織、個人を狙ったメールで、偽装されたメールアドレスや巧妙な文章で添付ファイルを開かせたり、URLにアクセスさせたりするように誘導し、機密情報やアカウント情報などを窃取しようとする手口
ビジネスメール詐欺
取引先や自社の経営層などを装い、金銭や機密情報などを騙し取る手口
ソーシャルエンジニアリング
なりすまし電話でパスワードを聞き出したり、ショルダーハッキングを行ったりするなど、人間の心理的な隙や信頼関係を悪用し、情報を盗み出す手口
ランサムウェアによる被害 | |
サプライチェーンの弱点を悪用した攻撃 | |
内部不正による情報漏えい等の被害 | |
標的型攻撃による機密情報の窃取 | |
修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | |
不注意による情報漏えい等の被害 | |
脆弱性対策情報の公開に伴う悪用増加 | |
ビジネスメール詐欺による金銭被害 | |
テレワーク等のニューノーマルな働き方を狙った攻撃 | |
犯罪のビジネス化(アンダーグラウンドサービス) |
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威2024 」
被害拡大の理由と必要な対策



ビジネスメール詐欺による被害金額のデータとして、IPAが公開している資料※2では、米国連邦捜査局(Federal Bureau of Investigation:FBI)によると、2016 年 6 月から 2021 年 12 月までに、 米国インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)を含む複数の情報源に報告されたビジネスメール詐欺の発生件数は、全米50州と177か国で 241,206件、被害総額は約433億米ドル(未遂を含む)にのぼっています。

1件あたりの平均被害額は約18万米ドル(日本円では約2,300万円)にもなり、特に中小企業にとっては大きな打撃になることが想像できます。
セキュリティーアウエアネストレーニング(セキュリティー意識向上トレーニング)
それでは、従業員のセキュリティー意識を向上させるために、具体的にどのようなことを行ったらよいでしょうか?
主に三つのステップに分かれています。
診断
セキュリティー教育においては、従業員のセキュリティーレベルの現状を把握することが大切です。測定したレベルを基にどういったトレーニングを行うか計画を策定します。
変化を促す
トレーニングや啓蒙コンテンツで従業員のセキュリティー意識の向上を狙います。また、怪しいメールが届いたら、開かずに管理者に通報するという正しい行動を意識づけることも重要です。
計測・計画
行われてきたトレーニングや訓練結果を基に、従業員に適したサイクルを再計画します。

従業員全員がセキュリティー意識を持ち、もしもの際に正しく行動・対処できるようにすることが大切です。
こうしたセキュリティー意識向上トレーニングを行うツールとして注目されているのが、「Proofpoint Security Awareness Training」(以下、PSAT)です。
「PSAT」と従来のセキュリティー訓練との違い
これまでも、標的型訓練メール訓練は数多くの企業で実施されてきましたが、従来の訓練手法では下記のような課題がありました。
- 訓練が形骸化してしまっている
- 実施するための管理者の負担が大きい
- 効果測定が難しい
- ゲーム形式やドラマ仕立てなど、受講者が飽きることのない多彩な教育商材
- 訓練メールのテンプレートが多数用意されており、管理者の負担軽減
- 怪しいメールの通報がワンクリックで可能
- ダッシュボードで個人のトレーニング状況や標的型訓練結果を可視化
PSATを導入した後、フィッシングクリック率の減少や怪しいメールの通報率が向上したという結果があり、従業員のセキュリティー意識の向上を着実に支援します。

サイバー攻撃への対策はシステムだけでなく、意識改革も重要
- ※1:金融庁「フィッシングによるものとみられるインターネットバンキングによる預金の不正送金被害が急増しています。」(2024年1月24日)
- ※2:独立行政法人情報処理推進機構「ビジネスメール詐欺(BEC)の特徴と対策」

関連情報
関連商品・サービス
関連コラム
お問い合わせ
お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。