標的型攻撃メールの訓練を本気でやりすぎると、業務に必要なメールも警戒されて読まれなくなっちゃうそうです

“実戦的”な文面でトレーニングが可能

　近年、日本企業や政府機関が対象となるサイバー攻撃は増加の一途をたどっています。スピアフィッシング、標的型攻撃、ビジネスメール詐欺、ランサムウェア……。被害の大きさや社会に与える影響なども考えれば、企業であれ個人であれ、サイバーセキュリティの課題解決の重要性は増す一方です。

　当然、企業やセキュリティベンダー側も手をこまねいているわけではなく、さまざまな対策や訓練が実施されています。

　その中の一つに「標的型攻撃メール訓練」があります。業務連絡などを装ったメールが届き、開いてしまうとアラートが表示されるというもの。

　しかし、そのメールが一目で訓練だとバレてしまうものだと、「あ、例の訓練だな……」となってしまい意味がありません。小学校の頃、「今日は防災訓練があります」と言われていると、警報が鳴っても「あ〜、どうせ訓練だし」みたいにダラダラ動く人がいましたが、あれに似ているかも。

　それでは、効果的な訓練をするにはどうしたらよいのでしょうか？ ICTスタートアップリーグに採択されているAironWorks株式会社は、企業向けにサイバーセキュリティの訓練プラットフォームを提供しています。

　世界トップレベルのホワイトハッカー、エンジニア集団が開発するAIサイバーセキュリティプラットフォーム。

　企業の従業員に向けて、「個別最適化された超実践的な訓練メール・運用・教育配信」を完全自動化かつワンプラットフォームで提供しているとのこと。ポイントは、イスラエル国防軍8200部隊のテクノロジーを用いてハッカー視点で開発したAIにより、独自の企業分析・訓練文面の作成を可能にしている点。

　業務内容や個々の社員の役職に合わせた文面をAIが作成するため、より“実戦的”な文面が作れるわけです。

個々の社員のレベルにあわせることが大切らしい

　ところで、この訓練では、個々の社員のレベルに合わせて段階的に難易度を上げていく方針が取られているそうです。最初からレベルを上げすぎてしまうと、訓練メールと見分けがつかないことで必要なメール連絡まで読み落とされてしまい、業務に支障が出てしまうこともあるのだとか。

　標的型攻撃メールの訓練を本気でやると、必要なメールも警戒されて読まれなくなってしまう。これでは本末転倒です。

　先ほどの小学校の防災訓練でいえば、リアルな防災訓練を繰り返し続けることで、「はいはい、どうせ訓練なのね」となってしまい、本当の災害時に対応が遅れる……みたいなイメージでしょうか。

　そういったわけで、個々の社員のレベルにあわせて段階的に難易度を上げていく方針が取られているのだとか。この訓練に必要なプログラムを一から作るとなると大変そうですが、AIを活用することで、社員のレベルに応じつつサイバー攻撃の“トレンド”に合わせたプログラムを提供することが可能だそう。

「悪意を持った人間なら、こう攻めてくる」への対策

　もう何年も前になりますか、標的型攻撃メールの訓練に引っかかった知人がいました。その訓練用のメールは、いかにも「訓練のものです」という文面でしたし、送信アドレスなどに注意すれば見抜きやすいものでした。

　ところが、その人は引っかかった。メールの文面が、「会社で〇〇（大きなスポーツイベント）の招待チケットが申し込めるので、参加したい人は申し込むように」といったようなものだったのですが、何をかくそう、引っかかった人がそのスポーツの大ファンだったのですよね……。

　人間、好きなもの、興味のある分野になると、日頃の警戒心を忘れてコロッとだまされてしまうこともあります。誰しも、強い部分もあれば、弱点もある。サイバー攻撃の実行者からしてみれば、その隙を突かないわけがない。

　逆に言えば、「今、こういうタイプの企業／写真を攻撃してくる人間なら、こうやってくるのではないか」という視点でのプログラムは、サイバー攻撃への訓練としては有用になるはず。それぞれの企業や組織に最適化された、実戦的な標的型訓練・教育の重要性はよくわかります。

　これからのサイバーセキュリティは、生成AIなどを活用し、より“リアル”なメッセージを装おった攻撃への対策が求められるでしょう。「悪意を持った人間は、こんな手段で攻撃してくる」ということを予測し、個々人のレベルに合わせた訓練が可能なプラットフォームは、まさに現在に必要とされるものといえるかもしれません。

本記事はアフィリエイトプログラムによる収益を得ている場合があります