中小企業のＩＴ活用が進む一方で、情報セキュリティ分野では日々、新たな脅威が出現しています。ひとたび情報漏えいなどの事故が発生してしまうと、自社の業務に影響が及ぶだけではなく、取引先に対しても大きな迷惑をかけるリスクがあります。特に、｢標的型攻撃による被害｣は、独立行政法人情報処理推進機構（以下、ＩＰＡ）が発表している｢組織における情報セキュリティ10大脅威｣の第１位に選ばれるなど、各組織で対策の必要性が高まっています【図１】。このような背景から、投資先企業向けに標的型メールに対する合同訓練を実施しましたので、その結果をご報告します。

そもそも標的型攻撃とは、メールの添付ファイルを開かせたり、悪意あるウェブサイトにアクセスさせたりすることで、パソコンにウイルスを感染させ、業務上の重要情報や個人情報を盗み取る攻撃のことです。特に注意したいのは、情報窃取の本命である「大企業を狙うための踏み台」として、中小企業が狙われるケースです。セキュリティレベルが低くなりがちな中小企業に、標的型攻撃でウイルスを感染させて、大企業との取引内容や担当者名などを盗み出します。その情報をもとに巧妙な偽メールを作り、大企業に攻撃を仕掛け重要情報を盗み出す手口であり、中小企業のセキュリティ不備により、取引先の大企業に迷惑がかかる可能性があります。

今回の標的型メール合同訓練には、１６８社１万５４２５名にご参加いただきました。全体の結果は、第１回目の開封率が18・５％、２回目が13・５％となりました。２回目の訓練メールは１回目と比べ、難易度の高いものでしたが、１回目の訓練効果があったためか、１６８社中１０４社に改善が見られました。

売上高別の開封率では、「売上高が大きくなるほど開封率が高くなる」という傾向があり、特に売上高50億～２００億円、同２００億円以上の会社では、１回目、２回目ともに全体平均を上回る結果となりました【図２】。売上高が大きくなるほど、顧客情報などの機密情報を多く扱うようになり、情報漏えい時のリスクが高まります。そのため本来であれば、売上高の大きな会社ほどセキュリティ対策に力を入れていると思われますが、標的型メールへの対応は、まだまだこれからという会社が多いようです。

従業員数別に分析した結果においても、「３０１名以上の会社がもっとも開封率が高く」、規模が大きくなると開封率が高くなる結果となりました【図３】。小規模企業に比べ、複数の拠点があることが多く、全社的に従業員のセキュリティ意識を向上させることが難しいのが理由の一つではないかと考えられます。

次に業種別に分析すると、「不動産業、サービス業、運輸業の開封率が高い」結果となりました【図４】。特に１回目の訓練では、訓練メールの送信者欄に会社名の記載がなく、個人名のみの記載であったことから、ＢｔｏＣビジネスの多い不動産業やサービス業の開封率が高くなったのではないでしょうか【図５】。一方で、日頃からセキュリティ分野への意識が高いと考えられる情報通信業については、１回目が２・１％、２回目が６・８％と非常に低い結果となりました。

標的型攻撃への対策として、セキュリティベンダ各社から次々に製品やサービスが発表されており、システムを最新のものに更新することも有効な対策の一つです。しかし、攻撃者も日々攻撃手法を進化させていることから、ただシステムで防ぐのみならず、受信者である各従業員が自身で不審なメールを見分けることも重要です。標的型メールによるウイルス感染は、パートやアルバイトであっても、メールを利用する従業員であれば誰でも起こり得るものであるため、「全従業員のセキュリティ意識向上」が課題となります。 ２回目の訓練で開封率が０％であった、株式会社シンクスコーポレーション（神奈川県愛甲郡）では、不審なメールに対する従業員への注意喚起策として、標的型メールの事例を定期的に社内掲示板にアップしているようです。今回の訓練で開封率の高かった会社では、従業員のセキュリティ意識向上の第一歩として、まずは同様に取り組まれてみるのもいいかもしれません。標的型メールの事例については、ＩＰＡが公表している｢標的型攻撃メールの例と見分け方｣＊に記載がございますので、活用されてみては如何でしょうか。次回のメール訓練は、２０１８年秋ごろを予定しております。ぜひ、従業員の皆様のセキュリティ意識の向上にお役立てください。ご参加、お問い合わせは投資育成担当者まで。お待ちしております。

機関誌そだとう196号から転載

日　時：２０１８年３月８日（１回目）、同20日（２回目）
参加数：１６８社、１万５４２５名
開封率：18・５％（１回目）、13・５％（２回目）
参加費：無料