表のストーリーでも話題になっている、標的型メールを対象とした訓練で、実際に添付ファイルを開いた人が1割に上ったとのこと。実物のメールを見ていないので何とも言えないけど、これ、それなりに作りこまれたメールだったら、引っかからないようにするのは結構難しいのではないかと思う。自分が訓練用メールを作る立場で、上司から「1割の人をひっかけることを目標に作れ」と言われたら「そんなの無理ですよ」とは、たぶん言わないな。

例えば、標的型の場合はウイルスチェックソフトで検知されない例が多いとのこと（報告内容では添付ファイルの詳細は不明だけど、訓練用ならたぶん検知されなかったのではないかと推測）。だから、不審だと思ったらファイルを検査するという手はこの場合効果がない。あと、私の場合だけど、普段付き合いのある某外資系企業から届くメールは、テキスト形式のメールではなくてHTMLの添付ファイルのように見えるメールで届いたりする。なので、HTMLの添付ファイルは開かない、という習慣がそもそもない。

そもそも、「不審なメール」と書いてあるけど、どう不審なのかにもよる。子供だましみたいなメールならどうということはないけど、標的とする会社や組織の習慣に詳しい人なら、かなりもっともらしいメールを作れる（例えば全社通達のフォーマットと同じに作るとか、実在の人物のメールアドレスを詐称するとか）ので、不審だと思うことが難しいかもしれない。報告書の対策の欄には「差出人の確認は電話で行うこと」とあって、もっともな話なんだけど、毎日届くメールのすべてでそんなことしている人はいないだろう。だから、やっぱり何か「不審だ」と思うきっかけがないと対応は難しい。

受け取る側の視点でこの記事をみると「自分はひっかからない」ともちろん思うけど、自社で訓練をするとして、訓練用メールを作る役目をもらったら自分ならどう作るか、などと考えると、結構楽しめそうな気がするな。