従業員を試す「フィッシングメールテスト」が炎上した残念な理由：やらかし企業事例

「ウチの従業員はフィッシングメールを見抜けるのか」と経営層が考えるのは当然だ。実際にテストしてみるのも一案だ。だがやり方を間違えると炎上事件に発展する。

[Gemma Moore，Computer Weekly]

　Verizonのデータ侵害レポート（2021年公開）によると、サイバーセキュリティ攻撃の80％はフィッシングメールから始まっている。従業員がフィッシングメールを見抜けるかどうか、企業がテストしようと考えても不思議ではない。しかしテストをするなら、攻撃者の戦術や手順を正確にエミュレーションしなければ意味がない。

　フィッシング攻撃の最善（？）の策略は、

• 恐怖や不安に付け込む
• 希望、報酬、インセンティブを与える

など、被害者の感情に訴え掛けるものだ。

　従業員がフィッシングメールを見抜けるかどうかをテストするとして、どこに線を引けばよいのか。West Midlands Trainsが2021年に実施したテストは「一線を越えた」と非難された。

West Midlands Trainsがやらかしたガッカリテスト

iStock.com/Orla

　West Midlands Trainsは、コロナ禍における従業員の努力に感謝し、ボーナスを提供するというメールを約2500人の従業員に送付した。だがリンクをクリックした従業員には、これは「フィッシングテスト」であり、ボーナスはないというメッセージを添えたメールが送信された。

　この事件は必然的に多くの批判と議論を引き起こした。テストに使う全ての計略は、標的にする人々を混乱させる恐れがある。そのため、テストの現実性とストレスや危害から従業員を守る義務とのバランスを取らなければならない。

　道徳的には、標的にする人々の苦痛を最小限に抑える必要がある。

　West Midlands Trainsが実施したテストが道徳的に間違っているかどうかを問うのではなく、逆効果になるのではないかを問う方が適切かもしれない。

関連記事

• Linuxユーザーも「PowerShell」を無視できない理由
• x86やクラウドよりもLinuxメインフレームを選ぶべき理由
• RHEL互換の安定志向OS「AlmaLinux」はCentOSユーザーの福音となるか
• MicrosoftがLinuxディストリビューターKinvolkを買収した真の狙い
• Dockerに最適の超軽量ディストリビューション「Alpine Linux」

　サイバーセキュリティはITの問題だけではない。セキュリティに積極的に取り組む従業員が必要だ。こうしたテストによって従業員が動揺し、苦しみ、価値が下がったと感じたならば、全体のレジリエンスが損なわれる可能性がある。

　サイバー犯罪者は目標達成のために感情に付け入ることもためらわないという反論があるのは当然だ。ソーシャルエンジニアリングとは人々を欺き、信頼を悪用し、人間関係を裏切ることに他ならない。フィッシング攻撃は被害者のことを考えずに行われる手口だ。攻撃チェーンを模倣するならば、その手口をそのまま再現する必要がある。

　この点は正しい。だが攻撃者を模倣するに当たって従業員の精神的健康を見失っては利益にならない。

　あらゆる種類のフィッシングテストで反応率がゼロだったとしても、攻撃者によるソーシャルエンジニアリングのリスクに対して従業員が安全だとする理由にはならない。混乱を引き起こすには足掛かりが一つあれば十分だ。

　ソーシャルエンジニアリング攻撃の犠牲になった従業員の世話を怠り、信頼関係が失われると、資産とデータを保護する土台となる人間関係そのものが損なわれる恐れがある。攻撃チェーンを模倣するにはソーシャルエンジニアリングを行わなければならないが、人間への負担に注意し、被害者のダメージを最小限に抑えなければならない。こうした状況はグレーゾーンではあるが、標的となる危険にさらされている人間を忘れてはならない。