サイバーセキュリティトレーニングの責任者が、従業員を怒らせるような内容の訓練メールを送信し、メディアの注目を集めることがあります。そのような場合、私たちはメディアからコメントを求められることがあります。
サイバーセキュリティトレーニングの責任者が、このような内容のフィッシング訓練メールをクリスマスや年末年始に送っているという記事を目にします。もしその目的が、組織として望まない行動(パスワードの提供、ドキュメントのダウンロード、実行可能コードの実行など)を引き起こす受信者をなるべく多くしたいのであれば、これらは有効かもしれません。
大多数の受信者がメールを開いてリンクをクリックするでしょう。しかし、大多数の受信を怒らせることになります。このことによって、送信者が懲戒処分を受けたり、さらには解雇されたりする可能性があります。
フィッシング訓練メールの目的は、何人の人を「反応させられるか」ではありません。本来の目的は、人的リスクを効果的に減らすことです。
多くの同僚を怒らせたり懲戒処分を受けたりするのは、正しいやり方ではありません。
セキュリティ意識向上トレーニングは積み重ねです。従業員に対して人を標的にした脅威(つまり、人的リスク管理)について教育し、従業員だけでなく経営幹部にもその重要性を理解してもらい、支持を得る必要があります。潜在的に悪意のあるメッセージに気付き、メールの内容に反応せず適切に報告する可能性を高めることで、人的リスクを低減させることを目指しています。多くの人の反感を買ってしまうやり方は、その目標を達成を困難にしてしまいます。
一回のフィッシングテストで社内の意識を大きく改善することは難しいですが、たった一回、物議を醸すフィッシング訓練メールを送ることで、セキュリティ意識向上トレーニングプログラムの継続を困難にさせてしまいます。
メール受信者を怒らせたり、経営幹部に疑念を抱かせたりしない、価値のあるフィッシング訓練メールを送る方法はたくさんあります。送ろうとしている訓練メールの内容が妥当なものか判断がつかないときは、迷わず他の内容の訓練メールを送ってください。あるいは、少なくとも送信前に経営幹部にお伺いを立ててください。
もしユーザーを不快にさせたり、プログラム全体に対する反発を招いたりしているなら、効果的にトレーニングを実施できているとは言えません。その結果、プログラムに反対している人たちを説得するために多くの時間を費やすことになるでしょう。また、セキュリティ意識向上プログラムに激怒していた人が、その後態度を変えてプログラムを称賛するようになったという話は聞いたことがありません。
ほとんどの攻撃者は怒りを引き起こすようなフィッシングメールを使用しない
理解しておくべき点は、ほとんどの攻撃者がフィッシングメールに怒りや反発を買うような内容を使わないということです。なぜなら、そのような内容のメールは多くの人の怒りを招き、すぐに組織全体に知られることとなり、偽のメッセージであることがすぐにバレて、多くの従業員に警戒されてしまうからです。これではフィッシング攻撃の目的を達成できません。
攻撃者は、受信者が思わずクリックしたり返信したりするような内容、受信者を少し怒らせることがあっても、メッセージの効果を損なうほどの怒りではない、受信者が騙されていることにすぐに気づかず、要求された行動をとるような内容を好みます。騙されて要求された行動をとった人が、すぐにそのメールを通報しなければ、攻撃者はより長期にわたって、その返信や行動を利用することができます。多くの人々を一斉に怒らせたり、組織がすぐに対応することは、攻撃者の侵入や金銭の窃取には役立ちません。
とはいえ物議を醸す話題は実際の攻撃で使われることもある
物議を醸す内容のフィッシングメールは、実際に攻撃者によって使用されています。もしあなたの組織がそのようなフィッシングメールを受け取ったことがあるなら、フィッシング訓練キャンペーンでそのような内容のメッセージを使用しても良いでしょう。
このような内容が使われた実際のフィッシング攻撃の例を取り上げているサイトを紹介します。
物議を醸すメッセージは実際のフィッシングキャンペーンでも使用されますが、頻繁に使われるわけではありません。しかし、あなたの組織が同様の(もしくは非常に似た)物議を醸すフィッシングメッセージによる攻撃を受けたことがある場合、フィッシング訓練メールキャンペーンでそのようなメッセージを使用する価値はあります。
注意:KnowBe4のお客様は、PhishFlipを使用して実際のフィッシング攻撃を無害化し、模擬フィッシングテスト用のテンプレートに変えることができます。フィッシング攻撃が本物であった場合に、不正なリンクをクリックする可能性のあるユーザーを特定することは非常に有益です。
繰り返しになりますが、たとえ物議を醸すフィッシングメールが実際に使われているとしても、同僚や経営幹部を激怒させる可能性がある内容を訓練メールで使うことは避けることをお勧めします。組織内の怒りはフィッシング訓練プログラムの効率性を低下させ、再び理解を得るまでには時間がかかるでしょう。代わりに、物議を醸す話題ではなく、怒りを引き起こさずに必要なスキルを教えるのに役立つフィッシング訓練メールのトピックを作るか、もしくは使用を検討してください。
決して無理を押し通さないでください。迷ったときは、やめておきましょう。少なくともこの理由でメディアの見出しを飾る必要はありません。
原典:Roger Grimes著 2024年12月6日発信 https://blog.knowbe4.com/why-controversial-phishing-emails-do-not-work