みなさんは、標的型メール攻撃訓練をご存知かな。
ウィルスを添付したメールや、悪質なサイトに誘導するメールを送付する「標的型メール攻撃」が多発しているが、それを模したメールを自社員に送り、社員の対応状況を確認する訓練だ。
東京都は平成29年度、標的型メール攻撃訓練を都内中小企業100社に提供した。
訓練結果を統計処理したものについて、内容を見てみよう。
標的型メール攻撃訓練 検証レポート
東京都産業労働局
1.訓練実施対象企業の状況
(1)訓練タイプ選択の状況(URL型、添付ファイル型別)
メール本文内のURLをクリックさせる「URL型」と、メールに添付した添付ファイルを開封させる「添付ファイル型」の二形式の訓練を提供したところ、応募企業の約80%が「URL型」を選択しました。
応募企業の多くは、不審なURLが記載されたメールを送付する「URL型訓練」を希望したようだな。
より引っかかりやすく危険だと考えた方が多かったのかも知れない。
(2)業種別応募企業数
サービス業を主とする企業が多数となりました。
(3)訓練対象者の年齢別人数
30歳代、40歳代の訓練対象者が多数となりました。
(4)訓練対象者の年齢別人数
男性の訓練対象者が多数となりました。
2.訓練タイプ別 標的型メール訓練実施結果
(1)URL型訓練 誘導先URLアクセス割合
URL型訓練の対象者のうち、URLをクリックし、誘導先URLにアクセスしてしまった人の割合は24%でした。
(2)添付ファイル型訓練 添付ファイル開封割合
添付ファイル型訓練の対象者のうち、添付ファイルを開封してしまった人の割合は12%でした。
URL型訓練で誘導先URLにアクセスしてしまった人は24%、添付ファイル型訓練で添付ファイルを開封してしまった人は12%で、URL型にはより多くの人が騙されてしまうというデータが出た。
URL型の攻撃がより危険である、という予想は当たっていたわけだ。
3.訓練対象者の対応状況
(1)標的型訓練メールに対する対応状況(引っかからなかった人の場合)
(2)標的型訓練メールに対する対応状況(引っかかってしまった人の場合)
標的型メール訓練に引っかかってしまった人の6割以上が、特に不審とも思わずURLにアクセス・添付ファイルを開封してしまったようだ。
標的型メール攻撃についてはEpisode2:標的型攻撃(セキュリティコラム)で紹介しているので、もう一度確認してみてほしい。
4.訓練対象者 属性別統計
(1)引っかかってしまった人の割合(業種別)
引っかかった割合がサービス業では比較的低く、卸売業、小売業では比較的高くなりました。
(2)引っかかってしまった人の割合(年齢別)
引っかかった割合が10歳代で低くなったほかは、年齢別で大きな差はありませんでした。
(3)引っかかってしまった人の割合(男女別)
引っかかった割合の性別による差は、ほとんどありませんでした。
性別ではほとんど差が出なかったのが印象的だな。
業種別や、年代別ではある程度の差が出ているので、引っかかった割合の多いところに属する方は、この結果を他人事とは思わず、サイバーセキュリティ意識の向上に努めていただきたい。