組織における標的型攻撃メール訓練は実施目的を明確に | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

組織においては、不審なメールを受信した場合、さらには添付ファイルを開いてしまった場合、ウイルス感染等の被害に遭うことがあり、その被害拡大を抑止すべく適切な対処を行う必要があります。そのため、有事に備えて、セキュリティ企業が提供している"標的型攻撃メール訓練"サービスを利用したり、自前でシステム管理部門等が中心となって同様の訓練を実施したりするケースがあります。 IPAには「不審なメールを受信した」という情報提供や「不審なメールの添付ファイルを開いてしまった」という相談が連日のように寄せられています。そして、その中には「IPAを騙った不審なメールを受信した」という内容もあります。しかし、その多くはIPAの組織名を用いた訓練メールであったことを確認しています。背景として、訓練を実施する際に用いるメール文面には、リアリティ追求の観点から実在する組織名を使うべき（脚注1）という考えがあるようです。

[itochan]

＞もし勤務先のメールアドレスで不審なメールを受信した場合、受信者は各々で送信元に送信有無を確認するのではなく、システム管理部門やセキュリティの責任者等、内部の然るべき部門や担当者に報告するべきです

[yujiorama]

“実在する組織名を使った訓練では、訓練メールに使われた実在の組織に問い合わせが入る可能性があります。そこで、標的型攻撃メール訓練の実施において留意すべきポイントを2点紹介します”

[yamuchagold]

どう訓練すべきなのか、難しいところではある。てか、こんな訓練がそもそも必要なのか…？

[mixvox-j]

IPAとか実在する組織名を使って標的型メール訓練するバカいるのか…"場合によっては訴訟問題に発展する可能性もあり"

[csal8040]

訓練メールの内容、添付ファイルを開封した際の対処や報告ルートが適切でなかった受信者へのフォロー等を検討する必要があります。なお、後述する第三者への影響を考慮することも重要なポイントです。