情シスが「標的型攻撃メール訓練」を拒絶する本当の理由

「極秘」と「緊急」の罠

「オフレコの案件だ」
「緊急でシステムのアカウント情報を送ってくれ」

社長の名前で、このようなメールを受信したことはないでしょうか？

これは、現在流行している「CEO詐欺」と呼ばれる手口です。

私が関わっている企業でも、すでに3社がこの怪しいメールを受信し、社内で注意喚起を行っています。

調べてみると、現在、全国規模で大流行しており、億単位の詐欺被害が出ています。中には、1社で数千万円の被害に遭った企業もあるそうです。

「いやいや、さすがに引っかからないでしょう？」

と思うかもしれません。しかし、これは社員の心理を突いた実に巧妙な手口です。

攻撃者は、社長が海外出張中など、直接本人に確認できないタイミングを狙ってきます。「海外だからGmailでも不思議ではない」と思わせ、表示名にはしっかりと「代表取締役社長 ○○」と書かれています。

ここで注目してほしいのは、「振込指示ではない」という点です。

「極秘案件だから、君にだけ頼む」

真面目で責任感の強い社員ほど、そう言われると使命感に駆られます。要求されるのは、会社の機密情報や個人情報、あるいはシステムのアカウント情報などです。

「お金を振り込め」と言われれば誰でも警戒します。しかし、「情報を送れ」であれば、「私は信頼されている。社長のために早く送らなければ…」と警戒心よりも忠誠心が先に来てしまいます。

社長指示に従った社員は、ここでお役御免です。ここまでは、犯人にとっての「仕込み」に過ぎません。

社員が情報を送ってしまうと、そこからシステムやメールアカウントへの侵入を許してしまいます。つまり、アカウント自体が乗っ取られるのです。

そして、ここからが本当の恐怖です。

乗っ取ったアカウントを使い、過去のメールのやり取りを盗み見ます。取引の流れ、口調、関係性を完全に把握した上で、関係者しか知らない専門用語をちりばめ、絶妙なタイミングでメールを被せてくるのです。

「基幹システム変更に伴い、今月から振込先が以下に変わります」

このメールを受け取った第三者の経理担当者はどう思うでしょうか？

知らないアドレスから来たメールであれば怪しみます。しかし、これは普段やり取りしている「本物の社員のアカウント」から、しかるべき文脈の「返信」として送られてくるのです。

入念な仕込みと、内部に入り込んだ上でのスムーズな誘導。

これでは、どんなに注意深い人でもひっかかる可能性があります。こうして、企業は巨額の資金を騙し取られてしまうのです。

情シス部長のトラウマ

A社でも、あわやこのCEO詐欺の被害に遭いそうになり、事件になる一歩手前でした。

危機感を募らせた社長から対策を相談され、私は「標的型攻撃メール訓練」を提案しました。

これは、従業員を対象に、疑似的な攻撃メールを送り、対処方法を教育・啓蒙するための訓練です。

すると、同席していた情シス部長があからさまに嫌そうな顔をしました。

「もう3年以上やっていないですし、やりたくないです」

なぜでしょうか？

そこには、過去の苦い経験がありました。

A社は、3年前にメール訓練を実施しました。「抜き打ちでないと意味がない」と、告知なしに全社員に訓練メールを送ったのです。

すると、危険を察知した現場から「怪しいメールが来ている！」と電話が殺到しました。

そこで「実は訓練でした」と種明かしをしたところ、現場から烈火のごとくクレームが来たそうです。

「騙したのか！」
「忙しいのに余計な仕事を増やすな！」

窓口である情シスにクレームが殺到し、業務が麻痺しました。情シス部長は、ひたすら謝り倒したそうです。

一人一人にメールし、電話をし、今回の目的を説明し、詫びる。怒りが収まらない人のところへは、直接お詫びにも行きました。

情シスと現場の信頼関係が一気に崩れ落ち、情シス部長は「もう二度とやらない」と心に決めたそうです。

確かに、想像しただけでもかなりの修羅場。トラウマになってもおかしくありません。

さらに、訓練メールを大量に送るとスパム判定されるため、当時、複数アドレスで小分けにして送信するなどの「配信エラー対応」にも追われたそうです。

言うまでもなく、情シスは日々忙殺されています。

こんなときに、精神的にも肉体的にも疲弊するタスクを、わざわざ増やす必要があるのでしょうか？

正しい運用設計が情シスを救う

それでも私は「メール訓練はやるべき」と主張しました。

手口は日々進化しており、座学だけでは防ぎきれません。1回やっただけでも不十分です。「継続」して訓練することで、社員に「怪しい」と気づく感覚を刷り込ませる必要があります。

しかし、間違った手順でやれば「毒」になります。A社のように情シスが疲弊し、現場との信頼関係を壊すだけです。

問題なのは「訓練そのもの」ではなく、「運用設計」です。情シスを守りながら効果を出すには、以下の3つのポイントを押さえる必要があります。
 

①トップダウンでの宣言

まず、「抜き打ち」にこだわりすぎてはいけません。だまし討ちこそが、社員の心証を極めて損なうからです。

その怒りは、窓口となる情シスに向かい、情シスが悪者になってしまいます。

だからこそ、最初に経営トップ自らがセキュリティ教育の重要性を説き、「今後、定期的にメール訓練を行う」と全社に宣言するのです。

その指示を受けて情シスが動く、という構図にしなければなりません。
 

②アウトソーシングの活用

次に、情シスの負担を最小化する設計にします。ここは迷わず「アウトソーシング」すべきです。

今は、様々な「メール訓練サービス」が存在します。コストもそこまで高くありません。

メール文面の作成や、配信エラーの対応といった「ノンコア業務」に、貴重な情シスのリソースを割くべきではありません。

外部業者がやることで、情シスの「精神的負担」も和らぎます。
 

③返信・窓口の運用設計

そして最も重要なのが、訓練後の運用です。

情シスメンバーを「問い合わせ窓口」にしてはいけません。そのメンバーが矢面に立ち、個別に返信対応することで業務が完全に止まってしまうからです。

必ず「窓口専用メール」または「窓口専用チャット」を作成します。

さらに重要なのは、「個別返信しない」ことです。

情シスの皆さまは真面目なので、現場からの問い合わせに一件一件丁寧に返信しがちです。しかし、100人、1000人を相手にするのは現実的ではありません。

かといって、自動返信で「これは訓練メールです」と即答しては、本物の詐欺メールが来たときに検知できなくなります。

そのため、まず一律返信の内容を以下のように固定化します。

「報告を受け付けました。ありがとうございます。内容を確認しますので、それまではそのメールのリンク先は開かないでください」

これだけで十分です。そして後日、訓練が終わってから全社に一斉メールでフィードバックします。

「【完了報告】昨日の『標的型攻撃メール訓練』について」

これで十分なのです。情シスの肉体的かつ精神的負担を最小化する設計が、継続の鍵となります。

訓練は「騙す」ためではなく「守る」ために

「今回、ほぼクレームはありませんでした」

後日、A社の情シス部長から連絡があります。

今回は、社長からトップダウンで宣言してもらいました。
・社長の名前でも信用しないこと
・CEO詐欺は経営リスクであること
・疑う＆確認は賞賛される行為であること

さらに、外部の専門業者を選定し、最新の「LINEグループに誘導する手口」など、時流に沿った文案も作成してもらいます。

初回こそ情シスの準備工数はかかりましたが、この運用であれば手間がかからず心理的負担もなく、継続できると仰っていました。

今後は、引っかかった社員数の推移をモニタリングし、常に社員のセキュリティ意識を維持・向上させていくそうです。

情シスが悪者になってはいけません。

正しい運用設計さえあれば、情シスは疲弊せず、会社を守ることができます。

貴社のIT部門・情報システム部門は、メール訓練を「継続」できていますでしょうか？