最近、何回も何回も繰り返しフィッシングリンクをクリックする従業員、いわゆる「リピートクリックユーザー」について話す機会が何度かありました。最初はForresterのアナリストとの会話で、次に、Orlandoで開催されたKB4-CONで、Cognitive Security Instituteのエグゼクティブディレクター、Matthew Canham氏のプレゼンテーションを聞いた後のことです。
その後、私自身もこのテーマに興味を持ち、複数のKnowBe4導入企業にお話を伺い、リピートクリックユーザーへの対応方法をヒアリングしました。
「リピートクリックユーザー」という言葉はその名の通り、フィッシングシミュレーションや実際のフィッシング攻撃で、何度も何度も繰り返し怪しいリンクをクリックしてしまう人々を指します。一度失敗してしまった従業員ではなく、何度も名前が挙がる、いわば常連のような存在です。
このような従業員は、組織にとって深刻なサイバーセキュリティリスクとなり得る一方で、非常に優秀で、欠かせない人材であることも少なくありません。だからこそ、こうした人材の意欲を損なうことなく、公平かつ適切にリスクを軽減するにはどうすればよいのかが問われます。
リスクは高いが、価値も高い「リピートクリックユーザー」
Canham氏の研究は非常に興味深いものでした。あるパイロットスタディでは、「3回以上フィッシングシミュレーションに失敗した人」をリピートクリックユーザーと定義し、次のような結論が得られました。
- 全体のわずか0.83%がこのカテゴリに該当
- この0.83%のユーザーは他の従業員と比べて、約10倍の頻度でフィッシングリンクをクリック
つまり、従業員全体の1%にも満たないごく一部の従業員が、全体の中で非常に大きなリスクを占めています。
また、KB4-CONでの講演では、Canham氏はリピートクリックユーザーの中には、企業にとって非常に価値の高い従業員が多いことにも言及されていました。ノーベル賞受賞歴のある科学者が、実際のフィッシング攻撃に引っかかってインシデントを引き起こした事例も紹介されていました。
私が話を聞いたある企業でも、非常に経験豊富で優秀な従業員が、役職とはまったく無関係な内容のフィッシングシミュレーションを毎回クリックしていたという事例がありました。
彼らが重要な人材であるのは確かですが、その分、リスクも大きくなりがちです。だからこそ、この偏ったリスクを軽減することには、投資対効果(ROI)の面でも大きな意味があります。リピートクリックを防ぐことができれば、さらに大きな成果につながります。
リピートクリックユーザーには、共通点がある
フィッシングメール(本物、シミュレーション関係なく)を受け取る際、さまざまな要因がユーザーの行動に影響します。たとえば、急いでいるなど、従業員の心理状況や、攻撃者によって使用されているソーシャルエンジニアリングの手法などの要因があります。
一方、Canham氏が「stable factor(変わらない要因)」と呼ぶものもあります。これは文化的背景や、本人の性格的な特性など、変わりにくい要素です。そして、この「特性」こそが、リピートクリックの主な要因とされています。
Canham氏はこれらの「特性」をグループに分け、さらに深堀りました。中でも印象的だったのは、「保護者タイプ」と呼ばれるグループとの比較です。彼らは常にフィッシングを見抜き、正しく報告する習慣を持っている、リピートクリックユーザーとは真逆の位置にいます。
保護者タイプとリピートクリックユーザー、両者に「好きなキーワードを次回のミーティングまで記憶する」という課題を出したところ、保護者タイプは全員が覚えていたのに対し、リピートクリックユーザーは全員が忘れていたという結果が出ています。
さらに、リピートクリックユーザーは、自分がどのフィッシングシミュレーションに失敗したかを思い出すのにも苦労していました。ただし、失敗による恥ずかしさからくる記憶の抑圧の可能性もあるため、この結果をそのまま鵜呑みにするのは早計かもしれません
他にも、彼らには以下のような傾向があるとされています:
- 「自分の運命は自分次第」と考える傾向が強く、危機感が薄い
- フィッシングを見抜く自信が過剰(過信)
- 疑うことをしない傾向が強く、ソーシャルエンジニアリングに弱い
- メールを機械的に処理する癖があり、すべてのリンクを反射的にクリックしてしまう
こうした特性の組み合わせが、同じ人が繰り返しフィッシングに反応する原因になっています。
罰は効果なし? 失敗している本人が一番つらい
リピートクリックユーザーに対して、罰則的な対応をすべきか、サイバーセキュリティの担当者であれば、一度は考えたことがあるでしょう。
しかしCanham氏や導入企業の担当者の多くが語るのは、「罰しても意味がない」ということです。なぜなら、本人はすでに強い自責の念を抱えているからです。これ以上責めても改善にはつながりません。
リスクを減らすための具体的なアプローチ
では、実際にどうすればよいのでしょうか?以下は、導入企業から聞いた実際の取り組みです。
まずは「対話」から始める
リピートクリックユーザーが誰かを特定したら、まずは本人と会話することが重要です。責めるのではなく、行動やメール処理の癖を理解することに焦点を当てます。
ある企業では、「自分ひとりではこの癖を直せない」と社員本人が打ち明けたことで、セキュリティ担当者と一緒に改善に取り組むきっかけとなりました。
個別対応が鍵
リピートクリックは個人の特性によって起こるため、画一的な対応では不十分です。
幸いなことに、ヒューマンリスクマネジメント(HRM)プラットフォームの進化により、個人に合わせたサイバーセキュリティ対策はこれまでになく実現しやすくなっています。HRMは組織全体で取り組むべきイニシアチブでありながら、個々の従業員にとって意味のある形で、技術的な介入やガイダンスを提供することが可能です。ここで重要なのは、すべての従業員に常に完璧な判断を求めるのではなく、文脈やリスクに応じた介入によって、安全な行動を後押しするという考え方です。
危険な習慣を断ち切るサポート
一部の従業員にとって、リピートクリックはメール利用の中で身についてしまった習慣のようなものであり、その習慣を断ち切るためのサポートが必要です。ある企業では、リピートクリックが「自分の行動はクセになっている」と自覚していた社員に対し、KnowBe4のSecond Chance機能を導入しました。この機能は、リンクをクリックした直後に「本当にアクセスしますか?」と確認を促すもので、クリックを意識的な行動に変えるきっかけを与えます。
企業側はこの機能を一定期間限定で使用し、フィッシングシミュレーションでの結果をもとに、行動が改善されたと判断できたタイミングで、従業員との合意のもとで解除することにしていました。これにより、Second Chanceの効果が薄れたり、社員が慣れてしまったりするのを防ぐだけでなく、行動変容に成功した社員にとっての“成功報酬”として機能させることができたのです。
結果は上々でした。シミュレーションで毎回失敗していたその社員は、この期間中にリスクを80%以上も低減することに成功しました。
補足として、こうしたSecond Chanceのような個別対応とは異なり、KnowBe4 Defendで提供されている「クリック時点でのURL分析」は、組織全体を対象とした仕組みです。安全と判断されたURLにはそのままアクセスでき、怪しいURLは自動的にブロックされるため、リピートクリックでない従業員に対しては、より自然で負担の少ない対策として有効です。もちろん、シミュレーションではこの機能をオフにすることも可能です。
工夫と柔軟性を持つ
一部の社員には、大量のメールによって判断力が鈍っているケースもあります。その場合は、不要なメーリングリストの整理やグレーメールフィルタリングの強化も有効です。
また、通常のトレーニングとは別に、リピートクリックユーザー専用のシナリオを用意することで、自社にとって最も重要な脅威への感度を高めることもできます。
ポジティブな環境を作る
安全な行動を促すために、楽しさや前向きな雰囲気を取り入れている企業も多くあります。たとえば、年に一度の大会を開催したり、部署対抗で「Spot the Phish(フィッシングを見抜け)」のスコアボードを設けたりと、社内でゲーム感覚で取り組める仕組みを導入しています。景品は、プレゼントやバッジなどさまざまです。
また、複数の企業が共通して挙げていたのは、フィッシング失敗後の再トレーニングが、全体のトレーニングに対してネガティブな印象を与えないように工夫しているという点です。実際に従業員からも、「シミュレーションやトレーニングは有益だから続けてほしい」という声が多く寄せられており、その価値を損なわないよう意識しているそうです。
このような工夫の一つとして、再トレーニングは「リフレッシャートレーニング」と名称を変えたり、カジュアルなセッションでは「指導」ではなく「サポート」を前面に出すポジティブな名前にしたりするなど、印象をやわらげる工夫が施されています。
行動は変えられる。ただし、万能策はない
リピートクリックユーザーの行動は、個々の特性によって大きく左右されるため、これといった万能な解決策は存在しません。対応は、個別かつ丁寧である必要があります。
今回お話を伺った企業の担当者たちも、リピートクリックユーザーに寄り添いながら、メールとの関わり方を少しずつ変えていくことで、リスクの大幅な削減に成功していました。この記事で紹介したアプローチは、皆さまの組織でも応用できます。そして、まずはリピートクリックユーザーと話してみることで、さらに効果的なアイデアが見つかるかもしれません。
原典:Bex Bailey著 2025年6月23日発信 https://blog.knowbe4.com/a-clicking-time-bomb-what-to-do-about-repeat-clickers