実在組織名用いたメール攻撃訓練でトラブルのおそれも - IPAが注意喚起

さらにメールの受信者が訓練内容の記載を信じ、ソーシャルネットワークサービス（SNS）などを通じて情報を拡散してしまった場合、名称を利用された組織の風評被害につながり、場合によっては訴訟問題に発展するおそれもあると説明。

くわえて独立行政法人ではない組織が、「独立行政法人」を名乗ると法令違反で罰則対象となる可能性もあるとし、こうしたトラブルを防ぐため、同機構は訓練時のメールに、実在または酷似する組織名を使わないことが賢明として注意を呼びかけている。

また標的型攻撃メール訓練について、適切な対処が行えるかどうかを確認する目的で実施するものであり、「実施目的」を明確にした上で訓練内容を決定するようアドバイス。

「不審メールの開封率を下げる」ことに限らず、「受信者による適切な対処」「インシデントへ対応できる体制」などを確認することなど、組織を改善するための訓練も重要であると述べている。

報告ルートが適切でない受信者へのフォローなども検討すべきとしており、組織において不審なメールを受信した場合に、受信者が送信元へ個別に確認を取るのではなく、システム管理部門やセキュリティ責任者など、内部の担当者に報告する運用体制やルールを確立についてもあわせて求めている。

（Security NEXT - 2017/08/01 ）ツイート