標的型メール攻撃訓練を自社内で実施しました

弊社が提供する新サービス「Tmail」（標的型メール攻撃訓練）に関して、お客様に提供するにあたり実際にどの程度訓練として効果があるかを確かめる為、サービスリリース前の5月に自社内の社員を対象として実施いたしました。

皆様の参考となるように訓練結果を公開いたします。

訓練内容：

差出人：弊社社長名が表示された他組織ドメインによるメールアドレス
　　　　taizo.tanabe@mentalhealthcarejapan.com

注：この訓練で利用している企業名（メンタルヘルスケアジャパン）とドメイン名はICTLINKが攻撃訓練用に取得した架空企業とドメイン名です。

内容：

総評：
内容は社長から全社員に向けたお願いとなっていた為、差出人の表示名を見た社員が反射的にメールの本文を細かく読まないままリンクをクリックした社員が多くみられました。

攻撃訓練は業務時間内の夕方の時間帯（気持ちが緩んで惰性でメールを開くなど）を選んだ為、クリックした人が多かったようにも見受けられます。比較的見抜きやすいよう本文において不審な記述を混ぜています。
※フォントの一部（員や辺）を中国フォントにしています。

メール送信後10分以内の開封（リンククリック率）が高かったのが特徴で、それ以外にも早いタイミングで社内コミュニケーションツール（弊社はMicrosoft Teamsを利用しています）において、不審なメールが届いたと注意喚起をする社員も見られました。

今回の対象者数：48人（重複なし）
クリック数：10人
クリック率：20.83%

東京商工会議所のデータによると、弊社のような（IT/通信）の業種においては22.3%と言われており、弊社の数字は平均以下であるものの、決して褒められた数字ではありませんでした。

このように、実際に訓練を実施してみて見えてくる数字もあります。今後どのようにして従業員教育を行っていくかのKPIを立てる上でも、攻撃訓練は大切であると感じました。

不審なメールが届いた事を迅速に社内で共有する動きは非常に大切ですが、まずは不審なリンクを開いてしまった場合、その状況を速やかに上司へ報告する事が求められます。訓練においてはクリック率を重視するのではなく、実際にクリックしてしまった社員からの「報告率」を重視していただきたいです。私共が提供する訓練サービスを用いて、従業員皆様のITリテラシー向上を目指すと共に、サイバー攻撃に負けない組織づくりにお役立て下さい。