標的型(メール)攻撃対応訓練において、開封率を計測することの何が中途半端なのか
まず、オレは「開封率を計測すること」が意味ないとは思わない。しかし、これだけで充分とも全く思っていない。理由は以下の4点による。
- 開封率を測定して、後日同様の訓練を実施した際に開封率を下げていくという対処は、予防の観点からはある程度役立つが、0%まで持って行かないと(そして実際に攻撃を仕掛けられても0%を維持できないと)全く意味が無い
- 昨今のインシデント対応は、攻撃が来ても有効にならないような、いわゆる予防をやりつつも、実際に仕掛けられて有効になった攻撃を検知し、迅速な対応に移すようにシフトしてきている(これが昨今のCSIRT設立ラッシュにつながっているとも考えている)
- 攻撃側は、日々攻撃対象の研究を行い、標的型攻撃メールに使う内容を「巧妙かつ普通のメールと見分けがつかない」ように持って行っている。その一方で、防御側(というか訓練を仕掛ける側)が攻撃シーンに追随した訓練メニューの刷新を行えていない*1
- 「怪しいメールは開かない」という話を金科玉条*2のように言う人がいるが、そもそも「開かせる」ように工夫するのが標的型攻撃メールである