特許6992623標的型攻撃メール訓練支援装置、コンピュータで読み取り可能なプログラム、および標的型攻撃メール訓練支援方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2021-12-13
(45)【発行日】2022-01-13
(54)【発明の名称】標的型攻撃メール訓練支援装置、コンピュータで読み取り可能なプログラム、および標的型攻撃メール訓練支援方法
(51)【国際特許分類】
G06F 13/00 20060101AFI20220105BHJP
G06Q 10/10 20120101ALI20220105BHJP
H04M 11/00 20060101ALI20220105BHJP
【FI】
G06F13/00 610Q
G06Q10/10
H04M11/00 301
【請求項の数】
6
(21)【出願番号】P 2018048376
(22)【出願日】2018-03-15
(65)【公開番号】P2019160066
(43)【公開日】2019-09-19
【審査請求日】2020-07-09
(73)【特許権者】
【識別番号】000134707
【氏名又は名称】株式会社ナカヨ
(74)【代理人】
【識別番号】100104570
【弁理士】
【氏名又は名称】大関 光弘
(72)【発明者】
【氏名】弥田 紘一
(72)【発明者】
【氏名】佐々木 昌樹
【審査官】小林 義晴
(56)【参考文献】
【文献】特開2013-149063(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 13/00
G06Q 10/10
H04M 11/00
(57)【特許請求の範囲】
【請求項1】
標的型攻撃メールに対する訓練を支援する標的型攻撃メール訓練支援装置であって、訓練レベル毎に、標的型攻撃メールを模した訓練メールの雛型を記憶する訓練メール雛型記憶手段と、
ユーザの訓練レベルを記憶する訓練レベル記憶手段と、
前記訓練レベル記憶手段に記憶されている前記ユーザの訓練レベルに対応付けられて前記訓練メール雛型記憶手段に記憶されている訓練メールの雛型に基づいて、訓練メールを作成する訓練メール作成手段と、
前記訓練メール作成手段により作成された前記訓練メールを前記ユーザの端末に送信する訓練メール送信手段と、
前記訓練メール送信手段により送信された前記訓練メールに対する前記ユーザの所定の操作を監視する操作監視手段と、
前記訓練メール送信手段により送信された前記訓練メールに対する前記ユーザの行動を問い合わせるアンケートメールを作成するアンケートメール作成手段と、
前記アンケートメール作成手段により作成された前記アンケートメールを前記ユーザの端末に送信するアンケートメール送信手段と、
前記アンケートメール送信手段により送信された前記アンケートメールに対する回答を前記ユーザの端末から取得する回答取得手段と、
前記回答取得手段により取得された回答および前記操作監視手段における監視結果に基づいて、前記訓練レベル記憶手段に記憶されている前記ユーザの訓練レベルを更新する訓練レベル更新手段と、を備え、
前記アンケートメール作成手段は、
前記訓練メールに対する前記ユーザの行動を問い合わせる設問文を複数含み、前記設問文毎に、前記ユーザが前記訓練メールに対してどのような行動をしたかを複数の選択肢のなかから選択させるための入力フォームであるアンケート受付画面へのリンクが設定された前記アンケートメールを作成し、
前記回答取得手段は、
前記ユーザによる前記アンケートメールに設定されているリンクの選択により前記ユーザの端末に表示された前記アンケート受付画面に含まれている前記設問文毎に、前記複数の選択肢のなかから前記ユーザが選択した選択肢を、前記アンケートメールに対する回答として取得し、
前記訓練レベル更新手段は、
前記アンケート受付画面に含まれている前記設問文毎に前記ユーザが選択した選択肢に割り当てられている増減値を合計して採点するとともに、前記操作監視手段による前記ユーザの前記所定の操作に対する監視結果と、当該所定の操作に対応する前記設問文に対して前記ユーザが選択した選択肢と、を比較して、両者の整合性を判断し、当該整合性の判断結果に基づいて採点結果を修正し、当該修正された採点結果に基づいて前記ユーザの訓練レベルを更新する
ことを特徴とする標的型攻撃メール訓練支援装置。
【請求項2】
請求項1に記載の標的型攻撃メール訓練支援装置であって、前記訓練メール送信手段により送信された前記訓練メールに対して前記ユーザが前記所定の操作を行った場合に当該ユーザに提示するメッセージを、前記ユーザの訓練レベルに応じて生成するメッセージ生成手段と、
前記ユーザの端末から前記訓練メールに対する前記所定の操作を起因とするアクセス要求を受信した場合に、前記メッセージ生成手段により生成された当該ユーザに提示する前記メッセージを前記ユーザの端末に送信するメッセージ送信手段と、をさらに備えている
ことを特徴とする標的型攻撃メール訓練支援装置。
【請求項3】
請求項2に記載の標的型攻撃メール訓練支援装置であって、前記メッセージ生成手段は、
いずれかの訓練レベルに対応するメッセージとして、ランサムウェアを模した擬似ランサムウェア画面の画面データを生成する
ことを特徴とする標的型攻撃メール訓練支援装置。
【請求項4】
請求項2または3に記載の標的型攻撃メール訓練支援装置であって、前記メッセージ生成手段は、
いずれかの訓練レベルに対応するメッセージとして、標的型攻撃メールに対して不適切な操作を行った場合にすべき行動、あるいは標的型攻撃メールを見分けるための注意点が表示された教育コンテンツ画面の画面データを生成する
ことを特徴とする標的型攻撃メール訓練支援装置。
【請求項5】
コンピュータで読み取り可能なプログラムであって、前記プログラムは、
前記コンピュータを、標的型攻撃メールに対する訓練を支援する標的型攻撃メール訓練支援装置として機能させ、
前記標的型攻撃メール訓練支援装置は、
訓練レベル毎に、標的型攻撃メールを模した訓練メールの雛型を記憶する訓練メール雛型記憶手段と、
ユーザの訓練レベルを記憶する訓練レベル記憶手段と、
前記訓練レベル記憶手段に記憶されている前記ユーザの訓練レベルに対応付けられて前記訓練メール雛型記憶手段に記憶されている訓練メールの雛型に基づいて、訓練メールを作成する訓練メール作成手段と、
前記訓練メール作成手段により作成された前記訓練メールを前記ユーザの端末に送信する訓練メール送信手段と、
前記訓練メール送信手段により送信された前記訓練メールに対する前記ユーザの所定の操作を監視する操作監視手段と、
前記訓練メール送信手段により送信された前記訓練メールに対する前記ユーザの行動を問い合わせるアンケートメールを作成するアンケートメール作成手段と、
前記アンケートメール作成手段により作成された前記アンケートメールを前記ユーザの端末に送信するアンケートメール送信手段と、
前記アンケートメール送信手段により送信された前記アンケートメールに対する回答を前記ユーザの端末から取得する回答取得手段と、
前記回答取得手段により取得された回答および前記操作監視手段における監視結果に基づいて、前記訓練レベル記憶手段に記憶されている前記ユーザの訓練レベルを更新する訓練レベル更新手段と、を備え、
前記アンケートメール作成手段は、
前記訓練メールに対する前記ユーザの行動を問い合わせる設問文を複数含み、前記設問文毎に、前記ユーザが前記訓練メールに対してどのような行動をしたかを複数の選択肢のなかから選択させるための入力フォームであるアンケート受付画面へのリンクが設定された前記アンケートメールを作成し、
前記回答取得手段は、
前記ユーザによる前記アンケートメールに設定されているリンクの選択により前記ユーザの端末に表示された前記アンケート受付画面に含まれている前記設問文毎に、前記複数の選択肢のなかから前記ユーザが選択した選択肢を、前記アンケートメールに対する回答として取得し、
前記訓練レベル更新手段は、
前記アンケート受付画面に含まれている前記設問文毎に前記ユーザが選択した選択肢に割り当てられている増減値を合計して採点するとともに、前記操作監視手段による前記ユーザの前記所定の操作に対する監視結果と、当該所定の操作に対応する前記設問文に対して前記ユーザが選択した選択肢と、を比較して、両者の整合性を判断し、当該整合性の判断結果に基づいて採点結果を修正し、当該修正された採点結果に基づいて前記ユーザの訓練レベルを更新する
ことを特徴とするコンピュータで読み取り可能なプログラム。
【請求項6】
標的型攻撃メール訓練支援装置を用いた標的型攻撃メール訓練支援方法であって、前記標的型攻撃メール訓練支援装置は、
ユーザの訓練レベルに対応付けられて予め記憶されている訓練メールの雛型に基づいて訓練メールを作成して、当該訓練メールを前記ユーザの端末に送信するとともに、当該訓練メールに対する前記ユーザの所定の操作を監視し、
前記訓練メールに対する前記ユーザの行動を問い合わせる設問文を複数含み、前記設問文毎に、前記ユーザが前記訓練メールに対してどのような行動をしたかを複数の選択肢のなかから選択させるための入力フォームであるアンケート受付画面へのリンクが設定されたアンケートメールを作成して、当該アンケートメールを前記ユーザの端末に送信し、
前記ユーザによる前記アンケートメールに設定されているリンクの選択により前記ユーザの端末に表示された前記アンケート受付画面に含まれている前記設問文毎に、前記複数の選択肢のなかから前記ユーザが選択した選択肢を、前記アンケートメールに対する回答として前記ユーザの端末から取得し、
前記アンケート受付画面に含まれている前記設問文毎に前記ユーザが選択した選択肢に割り当てられている増減値を合計して採点するとともに、前記ユーザの前記所定の操作に対する監視結果と、当該所定の操作に対応する前記設問文に対して前記ユーザが選択した選択肢と、を比較して、両者の整合性を判断し、当該整合性の判断結果に基づいて採点結果を修正し、当該修正された採点結果に基づいて前記ユーザの訓練レベルを更新する
ことを特徴とする標的型攻撃メール訓練支援方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、標的型攻撃メールに対する訓練支援技術に関する。
【背景技術】
【0002】
近年、特定の企業等を狙った情報窃取等を目的とする標的型攻撃メールの脅威が増大している。標的型攻撃メールは、不特定多数に同時送信されるスパムメールとは異なり、特定の従業員等しか知らないキーワード等を使って特定の従業員等にのみ送られる。このため、スパムメールと比較して、セキュリティソフトの定義ファイルに登録されるのが遅れがちである。したがって、標的型攻撃メールのセキュリティ対策には、訓練による従業員等のスキルアップが重要である。このような標的型攻撃メールに対する訓練を支援する技術として、特許文献1に記載のメールシステムがある。
【0003】
特許文献1に記載のメールシステムにおいて、メール端末は、受信メールのなかから選択されたメールのヘッダ情報およびメール本文の少なくとも一方を、ユーザの訓練レベルに応じて変更することにより、訓練メールを作成する。そして、作成した訓練メールを自メール端末に送信する。また、メール端末は、訓練メールを受信した場合に、この訓練メールの添付ファイルの開封操作、メール本文中のURLへのアクセス操作、および、予め用意された問い合わせボタンに対する操作を監視し、これらの操作の監視結果に基づいてユーザの訓練レベルを更新する。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2015-60361号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載のメールシステムでは、訓練メールの添付ファイルの開封操作およびメール本文中のURLへのアクセス操作がいずれも行われなかった場合に、問い合わせボタンに対する操作の有無により、ユーザがこの訓練メールを認識することができたか否かを把握することはできるが、ユーザがこの訓練メールに対して適切に行動したか否かまでは把握することができない。このため、ユーザの標的型攻撃メールに対する正確なスキルレベルを訓練レベルに反映させることができない。
【0006】
本発明は、上記事情に鑑みてなされたものであり、本発明の目的は、ユーザの標的型攻撃メールに対する正確なスキルレベルを訓練レベルに反映させて、訓練メールを作成することが可能な技術を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明では、ユーザの訓練レベルに基づいて、標的型攻撃メールを模した訓練メールを作成し、作成した訓練メールをユーザのメール端末に送信して、ユーザの訓練メールに対する所定の操作(添付ファイルおよびメール本文中のURLへの選択操作等)を監視する。また、ユーザがこの訓練メールに対してどのような行動をしたかを問い合わせるアンケートメールを作成して、作成したアンケートメールをユーザのメール端末に送信し、このアンケートメールに対するユーザの回答を取得する。それから、ユーザの訓練メールに対する所定の操作の監視結果と、ユーザのアンケートメールに対する回答とに基づいて、ユーザの訓練レベルを更新する。
【0008】
例えば、本発明は、
標的型攻撃メールに対する訓練を支援する標的型攻撃メール訓練支援装置であって、
訓練レベル毎に、標的型攻撃メールを模した訓練メールの雛型を記憶する訓練メール雛型記憶手段と、
ユーザの訓練レベルを記憶する訓練レベル記憶手段と、
前記訓練レベル記憶手段に記憶されている前記ユーザの訓練レベルに対応付けられて前記訓練メール雛型記憶手段に記憶されている訓練メールの雛型に基づいて、訓練メールを作成する訓練メール作成手段と、
前記訓練メール作成手段により作成された前記訓練メールを前記ユーザの端末に送信する訓練メール送信手段と、
前記訓練メール送信手段により送信された前記訓練メールに対する前記ユーザの所定の操作を監視する操作監視手段と、
前記訓練メール送信手段により送信された前記訓練メールに対する前記ユーザの行動を問い合わせるアンケートメールを作成するアンケートメール作成手段と、
前記アンケートメール作成手段により作成された前記アンケートメールを前記ユーザの端末に送信するアンケートメール送信手段と、
前記アンケートメール送信手段により送信された前記アンケートメールに対する回答を前記ユーザの端末から取得する回答取得手段と、
前記回答取得手段により取得された回答および前記操作監視手段における監視結果に基づいて、前記訓練レベル記憶手段に記憶されている前記ユーザの訓練レベルを更新する訓練レベル更新手段と、を備え、
前記アンケートメール作成手段は、
前記訓練メールに対する前記ユーザの行動を問い合わせる設問文を複数含み、前記設問文毎に、前記ユーザが前記訓練メールに対してどのような行動をしたかを複数の選択肢のなかから選択させるための入力フォームであるアンケート受付画面へのリンクが設定された前記アンケートメールを作成し、
前記回答取得手段は、
前記ユーザによる前記アンケートメールに設定されているリンクの選択により前記ユーザの端末に表示された前記アンケート受付画面に含まれている前記設問文毎に、前記複数の選択肢のなかから前記ユーザが選択した選択肢を、前記アンケートメールに対する回答として取得し、
前記訓練レベル更新手段は、
前記アンケート受付画面に含まれている前記設問文毎に前記ユーザが選択した選択肢に割り当てられている増減値を合計して採点するとともに、前記操作監視手段による前記ユーザの前記所定の操作に対する監視結果と、当該所定の操作に対応する前記設問文に対して前記ユーザが選択した選択肢と、を比較して、両者の整合性を判断し、当該整合性の判断結果に基づいて採点結果を修正し、当該修正された採点結果に基づいて前記ユーザの訓練レベルを更新する。
標的型攻撃メールに対する訓練を支援する標的型攻撃メール訓練支援装置であって、
訓練レベル毎に、標的型攻撃メールを模した訓練メールの雛型を記憶する訓練メール雛型記憶手段と、
ユーザの訓練レベルを記憶する訓練レベル記憶手段と、
前記訓練レベル記憶手段に記憶されている前記ユーザの訓練レベルに対応付けられて前記訓練メール雛型記憶手段に記憶されている訓練メールの雛型に基づいて、訓練メールを作成する訓練メール作成手段と、
前記訓練メール作成手段により作成された前記訓練メールを前記ユーザの端末に送信する訓練メール送信手段と、
前記訓練メール送信手段により送信された前記訓練メールに対する前記ユーザの所定の操作を監視する操作監視手段と、
前記訓練メール送信手段により送信された前記訓練メールに対する前記ユーザの行動を問い合わせるアンケートメールを作成するアンケートメール作成手段と、
前記アンケートメール作成手段により作成された前記アンケートメールを前記ユーザの端末に送信するアンケートメール送信手段と、
前記アンケートメール送信手段により送信された前記アンケートメールに対する回答を前記ユーザの端末から取得する回答取得手段と、
前記回答取得手段により取得された回答および前記操作監視手段における監視結果に基づいて、前記訓練レベル記憶手段に記憶されている前記ユーザの訓練レベルを更新する訓練レベル更新手段と、を備え、
前記アンケートメール作成手段は、
前記訓練メールに対する前記ユーザの行動を問い合わせる設問文を複数含み、前記設問文毎に、前記ユーザが前記訓練メールに対してどのような行動をしたかを複数の選択肢のなかから選択させるための入力フォームであるアンケート受付画面へのリンクが設定された前記アンケートメールを作成し、
前記回答取得手段は、
前記ユーザによる前記アンケートメールに設定されているリンクの選択により前記ユーザの端末に表示された前記アンケート受付画面に含まれている前記設問文毎に、前記複数の選択肢のなかから前記ユーザが選択した選択肢を、前記アンケートメールに対する回答として取得し、
前記訓練レベル更新手段は、
前記アンケート受付画面に含まれている前記設問文毎に前記ユーザが選択した選択肢に割り当てられている増減値を合計して採点するとともに、前記操作監視手段による前記ユーザの前記所定の操作に対する監視結果と、当該所定の操作に対応する前記設問文に対して前記ユーザが選択した選択肢と、を比較して、両者の整合性を判断し、当該整合性の判断結果に基づいて採点結果を修正し、当該修正された採点結果に基づいて前記ユーザの訓練レベルを更新する。
【発明の効果】
【0009】
本発明では、訓練メールに対するユーザの行動をアンケートメールに対する回答により取得し、この取得したユーザの回答とユーザの訓練メールに対する所定の操作の監視結果とに基づいて、訓練レベルを更新している。したがって、本発明によれば、訓練メールに対する所定の操作の有無だけでは把握できないユーザの標的型攻撃メールに対する正確なスキルレベルを訓練レベルに反映させて、訓練メールを作成することができる。
【図面の簡単な説明】
【0010】
【発明を実施するための形態】
【0011】
以下に、本発明の一実施の形態について図面を参照して説明する。
【0012】
図1は、本実施の形態に係る標的型攻撃メール訓練支援システムの概略構成図である。
【0013】
図示するように、本実施の形態に係る標的型攻撃メール訓練支援システムは、WAN6に接続された標的型攻撃メール訓練支援装置1およびメールサーバ2と、標的型攻撃メール訓練支援装置1に接続された操作端末3と、LAN7に接続された複数のメール端末4-1~4-n(以下、単に、メール端末4とも呼ぶ)と、LAN7をWAN6に接続するためのゲートウェイ5と、を備えている。ここで、標的型攻撃メール訓練支援装置1およびメールサーバ2はLAN7に接続されていてもよく、メール端末4はWAN6に接続されていてもよい。
【0014】
標的型攻撃メール訓練支援装置1は、操作端末3を介して訓練支援実施者から受け付けた指示に従い、標的型攻撃メールを模した訓練メールを訓練対象ユーザの訓練レベルに応じて作成し、この訓練メールを、メールサーバ2経由で訓練対象ユーザのメール端末4に送信する。そして、訓練対象ユーザのこの訓練メールに対する操作内容を監視する。また、訓練対象ユーザのこの訓練メールに対する行動を問い合わせるアンケートメールを作成し、このアンケートメールを、メールサーバ2経由で訓練対象ユーザのメール端末4に送信する。そして、訓練対象ユーザからアンケートに対する回答を収集する。それから、標的型攻撃メール訓練支援装置1は、訓練対象ユーザの訓練メールに対する操作内容の監視結果およびアンケートに対する回答に基づいて、訓練対象ユーザの訓練レベルを更新する。
【0015】
【0016】
まず、操作端末3は、訓練対象ユーザのユーザIDおよび操作内容の監視時間の指定を伴う訓練開始操作を訓練支援実施者から受け付けると(S100)、指定された訓練対象ユーザIDおよび操作内容の監視時間を含む訓練開始指示を標的型攻撃メール訓練支援装置1に送信する(S101)。
【0017】
これを受けて、標的型攻撃メール訓練支援装置1は、訓練開始指示に含まれているユーザIDに対応付けられている訓練対象ユーザの訓練レベルを特定する(S102)。そして、特定した訓練レベルに応じて訓練対象ユーザ宛の訓練メールを作成する(S103)。例えば、訓練メール雛型には、訓練レベルに応じて、メール本文中にURLが記載されているか、あるいはファイルが添付されているため、訓練対象ユーザの訓練レベルに対応する訓練メール雛型のメール本文中にURLの記載があるならば、このURLに、ユーザIDおよび訓練メールのメールIDを含むWebビーコンを付加して、後述のメッセージ画面へのリンクを設定し、訓練対象ユーザの訓練レベルに対応する訓練メール雛型に添付ファイルがあるならば、この添付ファイルに、ユーザIDおよび訓練メールのメールIDを含むWebビーコンを付加して、後述のメッセージ画面へのリンクを設定する。以上のようにして、訓練対象ユーザ宛の訓練メールを作成する。
【0018】
つぎに、標的型攻撃メール訓練支援装置1は、訓練メールに含まれているURLにアクセスしたメール端末4に表示するメッセージ画面を、訓練開始指示に含まれているユーザIDに対応付けられている訓練対象ユーザの訓練レベルに応じて生成する。そして、このメッセージ画面を、訓練メールに含まれているURLに設定したリンク先(格納場所)に記憶する(S104)。例えば、訓練対象ユーザの訓練レベルが高い場合、ランサムウェアに汚染した場合に表示されるランサムウェア画面を模した擬似ランサムウェア画面をメッセージ画面として生成する。また、訓練対象ユーザの訓練レベルが低い場合、標的型攻撃メールに対して不適切な操作を行った場合にすべき行動、あるいは標的型攻撃メールを見分けるための注意点が記載された教育コンテンツ画面をメッセージ画面として生成する。
【0019】
つぎに、標的型攻撃メール訓練支援装置1は、メールサーバ2経由で、訓練開始指示に含まれているユーザIDに対応付けられている訓練対象ユーザのメール端末4に、作成した訓練メールを送信する(S105)。それから、監視タイマを起動して、この訓練メールに対する所定の操作の監視を開始する(S106)。具体的には、監視タイマがタイムアウトするまでの間、訓練メールのメール本文中に記載されているURLおよび訓練メールの添付ファイルの選択操作を監視する。
【0020】
つぎに、メール端末4は、受信メールのなかから閲覧対象として訓練メールを選択する選択操作を訓練対象ユーザより受け付けると(S107)、この選択された訓練メールを表示する(S108)。
【0021】
それから、メール端末4は、表示中の訓練メールの添付ファイルあるいはメール本文中のURLを選択する選択操作を訓練対象ユーザより受け付けると(S109)、選択操作に応じたアクセス要求を標的型攻撃メール訓練支援装置1に送信する(S110)。例えば、メール本文中のURLを選択する選択操作ならば、選択されたURLに設定されているリンク先へのアクセスを要求するアクセス要求を標的型攻撃メール訓練支援装置1に送信する。このアクセス要求は、選択されたURLに付加されているWebビーコンに含まれているユーザIDおよびメールIDを含む。一方、添付ファイルを選択する選択操作ならば、選択された添付ファイルに設定されているリンク先へのアクセスを要求するアクセス要求を標的型攻撃メール訓練支援装置1に送信する。このアクセス要求は、選択された添付ファイルに付加されているWebビーコンに含まれているユーザIDおよびメールIDを含む。
【0022】
つぎに、標的型攻撃メール訓練支援装置1は、メール端末4からアクセス要求を受信すると、このアクセス要求で指定されているリンク先に格納されているメッセージ画面(擬似ランサムウェア画面および教育コンテンツ画面のいずれか)の画面データをアクセス要求元のメール端末4に送信する(S111)。また、標的型攻撃メール訓練支援装置1は、このアクセス要求で指定されているリンク先に基づいて、訓練対象ユーザが実施した訓練メールに対する操作内容(メール本文中のURLの選択操作および添付ファイルの選択操作のいずれか)を特定する。そして、特定した操作内容を、操作ログとして、このアクセス要求に含まれているユーザIDおよびメールIDに対応付けて記録する(S112)。
【0023】
一方、メール端末4は、標的型攻撃メール訓練支援装置1から受信した画面データに従いメッセージ画面を表示する(S113)。
【0024】
つぎに、標的型攻撃メール訓練支援装置1は、操作装置3から受け付けた訓練開始指示に含まれている操作内容の監視時間の経過により監視タイマがタイムアウトすると(S114)、この訓練開始指示に含まれているユーザIDに対応付けられている訓練対象ユーザ宛のアンケートメールを作成する(S115)。具体的には、後述するアンケート受付画面へのリンクが設定されたURLが記載されたメール本文を生成する。また、訓練対象ユーザのメール端末4に訓練メールを送信した事実を認識できるように、このメール本文には、この訓練メールのタイトル、送信日時、送信元名等を記述するとともに、メール本文内のURLにアクセスして、アンケート受付画面からこの訓練メールに対してどのような行動をしたか回答するよう要求する旨を記述する。さらに、メール本文に記載したURLに、ユーザIDおよびこの訓練メールのメールIDを含むWebビーコンを付加する。以上のようにして、訓練対象ユーザ宛のアンケートメールを作成する。
【0025】
つぎに、標的型攻撃メール訓練支援装置1は、予め記憶されているアンケート情報に基づいて、アンケートメールに含まれているURLにアクセスしたメール端末4に表示するためのアンケート受付画面を生成し、このURLに設定されているリンク先(格納場所)に、生成したアンケート受付画面を格納する(S116)。
【0026】
つぎに、標的型攻撃メール訓練支援装置1は、メールサーバ2経由で、訓練開始指示に含まれているユーザIDに対応付けられている訓練対象ユーザのメール端末4に、作成したアンケートメールを送信する(S117)。
【0027】
つぎに、メール端末4は、受信メールのなかから閲覧対象としてアンケートメールを選択する選択操作を訓練対象ユーザより受け付けると(S118)、選択されたアンケートメールを表示する(S119)。
【0028】
それから、メール端末4は、表示中のアンケートメールのメール本文中のURLを選択する選択操作をユーザから受け付けると(S120)、選択されたURLにリンクされているメッセージ画面へのアクセス要求を標的型攻撃メール訓練支援装置1に送信する(S121)。このアクセス要求は、選択されたURLに付加されているWebビーコンに含まれているユーザIDおよびメールIDを含む。
【0029】
つぎに、標的型攻撃メール訓練支援装置1は、メール端末4からアクセス要求を受信すると、このアクセス要求で指定されているURLに設定されたリンク先(格納場所)に格納されているアンケート受付画面の画面データをアクセス要求元のメール端末4に送信する(S122)。これを受けて、メール端末4は、標的型攻撃メール訓練支援装置1から受信した画面データに従いアンケート受付画面を表示する(S123)。
【0030】
つぎに、メール端末4は、表示中のアンケート受付画面を介して訓練対象ユーザから、訓練メールに対する行動を問い合わせたアンケートの回答操作を受け付けると(S124)、受け付けた回答結果を標的型攻撃メール訓練支援装置1に送信する(S125)。これを受けて、標的型攻撃メール訓練支援装置1は、メール端末4から受け取った回答結果を、このメール端末4から受け付けたアンケート受付画面の格納場所へのアクセス要求に含まれていたユーザIDおよびメールIDに対応付けて記録する(S126)。
【0031】
それから、標的型攻撃メール訓練支援装置1は、メール端末4から受け付けたアンケート受付画面へのアクセス要求に含まれていたユーザIDおよびメールIDに対応付けて記録されている回答および操作ログに基づいて訓練対象ユーザの訓練レベルを更新する(S127)。具体的には、予め定められた基準に従い回答を採点する。つぎに、回答と操作ログとの整合性を判断し、その判断結果に基づいて回答の採点結果を修正する。そして、修正された採点結果に基づいて訓練レベルを決定し、訓練対象ユーザの訓練レベルを、新たに決定した訓練レベルに更新する。
【0032】
つぎに、標的型攻撃メール訓練支援装置1の詳細を説明する。なお、標的型攻撃メール訓練支援装置1とともに本実施の形態の標的型攻撃メール訓練支援システムを構成するその他の装置(メールサーバ2、操作端末3、メール端末4、ゲートウェイ5)には、既存の装置を利用できるので、その詳細な説明を省略する。
【0033】
図4は、標的型攻撃メール訓練支援装置1の概略機能構成図である。
【0034】
図示するように、標的型攻撃メール訓練支援装置1は、ネットワークインターフェース部100と、操作端末インターフェース部101と、記憶部102と、訓練メール作成部103と、メッセージ画面生成部104と、アンケートメール作成部105と、アンケート受付画面生成部106と、メール送信部107と、Webサーバ部108と、訓練レベル更新部109と、主制御部110と、を備えている。
【0035】
ネットワークインターフェース部100は、WAN6に接続するためのインターフェースである。
【0036】
操作端末インターフェース部101は、操作端末3に接続するためのインターフェースである。
【0037】
記憶部102は、ユーザ情報記憶部111と、訓練メール雛型記憶部112と、メッセージ画面雛型記憶部113と、アンケート情報記憶部114と、操作ログ記録部115と、回答記録部116と、を有する。
【0038】
ユーザ情報記憶部111には、メール端末4のユーザ毎に、ユーザIDおよび訓練レベルを含むユーザ情報が記憶されている。
【0039】
図5は、ユーザ情報記憶部111の登録内容例を模式的に表した図である。
【0040】
図示するように、ユーザ情報記憶部111には、メール端末4のユーザ毎にユーザ情報のレコード1110が記憶されている。ユーザ情報のレコード1110は、ユーザIDを登録するフィールド1111と、氏名を登録するフィールド1112と、部署名等の所属を登録するフィールド1113と、メール端末4のメールアドレスを登録するフィールド1114と、訓練レベルを登録するフィールド1115と、を有する。
【0041】
訓練メール雛型記憶部112には、訓練レベル毎に、標的型攻撃メールを模した訓練メールの雛型である訓練メール雛型が記憶されている。
【0042】
図6は、訓練メール雛型記憶部112の登録内容例を模式的に表した図である。
【0043】
図示するように、訓練メール雛型記憶部112には、訓練レベル毎に訓練メール雛型情報のレコード1120が記憶されている。訓練メール雛型情報のレコード1120は、訓練レベルを登録するフィールド1121と、メール本文雛型を登録するフィールド1122と、差出人メールアドレスの作成ルールを登録するフィールド1123と、添付ファイルの有無を登録するフィールド1124と、を有する。
【0044】
ここで、メール本文雛型に含まれるURL1125には、訓練対象ユーザのユーザIDおよび訓練メールのメールIDを含むWebビーコンが付加されるとともに、所定のメッセージ画面にアクセスするためのリンクが設定される。また、メール本文雛型に含まれるタグ1126、1127には訓練対象ユーザの氏名が記述される。また、フィールド1124の登録内容が添付ファイル「あり」の場合、添付ファイルには、訓練対象ユーザのユーザIDおよび訓練メールのメールIDを含むWebビーコンが付加されるとともに、所定のメッセージ画面にアクセスするためのリンクが設定される。
【0045】
図6に示す例によれば、訓練レベル「初級」の訓練対象ユーザに対しては、差出人メールアドレスを「フリーメールアドレス」とする訓練メールを作成するための訓練メール雛型情報が登録されている。この訓練メールは、日本語にはない漢字を含み、助詞の使用が不適切であり、かつ、上述のWebビーコンが付加されるとともに所定のメッセージ画面へのリンクが設定されたURLが記述されたメール本文を有している。また、訓練レベル「中級」の訓練対象ユーザに対しては、差出人メールアドレスを「組織内のドメインの実在しないメールアドレス」とする訓練メールを作成するための訓練メール雛型情報が登録されている。この訓練メールは、訓練対象ユーザの氏名を含み、差出人のメールアドレスと異なるメールアドレスが署名欄に記述されたメール本文と、上述のWebビーコンが付加されるとともに所定のメッセージ画面へのリンクが設定された添付ファイルと、を有している。また、訓練レベル「上級」の訓練対象ユーザに対しては、差出人メールアドレスを「組織内のドメインの実在するメールアドレス」とする訓練メールを作成するための訓練メール雛型情報が登録されている。この訓練メールは、訓練対象ユーザの氏名を含む架空メールのメール本文が過去の送受信メールとして記述されるとともに実在しない部署名が署名に記述されたメール本文と、上述のWebビーコンが付加されるとともに所定のメッセージ画面へのリンクが設定された添付ファイルと、を有している。
【0046】
メッセージ画面雛型記憶部113には、訓練レベル毎に、訓練メールのメール本文中のURLあるいは添付ファイルに設定された所定のリンク先(格納場所)に格納するメッセージ画面の雛型であるメッセージ画面雛型に関する情報が記憶されている。
【0047】
図7は、メッセージ画面雛型記憶部113の登録内容例を模式的に表した図である。
【0048】
図示するように、メッセージ画面雛型記憶部113には、訓練レベル毎にメッセージ画面雛型情報のレコード1130が記憶されている。メッセージ画面雛型情報のレコード1130は、訓練レベルを登録するフィールド1131と、メッセージ画面雛型の画面データを登録するフィールド1132と、メッセージ画面雛型の種別(教育コンテンツおよび擬似ランサムウェア画面のいずれか)を登録するフィールド1133と、を有する。
【0049】
図7に示す例によれば、訓練レベル「初級」の訓練対象ユーザに対しては、情報管理部門への報告等、不審なメールに対して不適切な操作を行ってしまった場合になすべき行動が記載された教育コンテンツを生成するためのメッセージ画面雛型情報が登録されている。また、訓練レベル「中級」の訓練対象ユーザに対しては、標的型攻撃メールを見分けるための注意点が記載された教育コンテンツを生成するためのメッセージ画面雛型情報が登録されている。また、訓練レベル「上級」の訓練対象ユーザに対しては、ランサムウェアに汚染した場合に表示されるランサムウェア画面を模した擬似ランサムウェア画面を生成するためのメッセージ画面雛型情報が登録されている。
【0050】
【0051】
図示するように、アンケート情報記憶部114には、アンケート受付画面に表示するアンケートの設問毎にアンケート情報のレコード1140が記憶されている。アンケート情報のレコード1140は、設問情報を登録するフィールド1141と、選択肢情報を登録するフィールド1142と、を有する。設問情報を登録するフィールド1141は、設問番号を登録するサブフィールド11411と、設問文を登録するサブフィールド11412と、を有する。選択肢情報を登録するフィールド1142は、設問文に対して複数用意された選択肢情報のサブレコード1143を有する。選択肢情報のサブレコード1143は、回答番号を登録するサブフィールド11431と、選択肢を登録するサブフィールド11432と、訓練レベル判定に用いる点数の増減値を登録するサブフィールド11433と、を有する。
【0052】
図10は、操作ログ記録部115の登録内容例を模式的に表した図である。
【0053】
図示するように、操作ログ記録部115には、メール端末4のユーザ毎に操作ログのテーブル1150が記憶されている。操作ログのテーブル1150には、訓練メールに対するユーザの操作内容を記録した操作ログのレコード1151が記憶されている。操作ログのレコード1151は、操作ログを識別するためのログIDを登録するフィールド1152と、訓練メールのメールIDを登録するフィールド1153と、訓練メールに対する操作内容を登録するフィールド1154と、を有する。
【0054】
図11は、回答記録部116の登録内容例を模式的に表した図である。
【0055】
図示するように、回答記録部116には、メール端末4のユーザ毎にアンケート結果のテーブル1160が記憶されている。アンケート結果のテーブル1160には、訓練メール毎にアンケート結果のレコード1161が記憶されている。アンケート結果のレコード1161は、訓練メールのメールIDを登録するフィールド1162と、訓練メールに対するアンケートの回答結果を登録するフィールド1163と、を有する。回答結果を登録するフィールド1163は、アンケートの設問毎のサブレコード1164が登録されており、このサブレコード1164は、設問番号を登録するサブフィールド11641と、ユーザが選択した回答番号を登録するサブフィールド11642と、を有する。
【0056】
図4に戻って説明を続ける。
【0057】
訓練メール作成部103は、ユーザ情報記憶部111に記憶されている訓練対象ユーザのユーザ情報および訓練メール雛型記憶部112に記憶されている訓練対象ユーザの訓練レベルに対応する訓練メール雛型に基づいて、訓練対象ユーザに対する訓練メールを作成する。
【0058】
メッセージ画面生成部104は、メッセージ画面雛型記憶部113に記憶されている訓練対象ユーザの訓練レベルに対応するメッセージ画面雛型に基づいて、訓練対象ユーザが訓練メールのメール本文中のURLあるいは添付ファイルを選択した場合に提示するためのメッセージ画面(教育コンテンツ画面あるいは擬似ランサムウェア画面)を生成する。
【0059】
アンケートメール作成部105は、訓練対象ユーザの訓練メールに対する行動を問い合わせるためのメールであって、アンケート受付画面にアクセスするためのURLが記載されたアンケートメールを作成する。
【0060】
アンケート受付画面生成部106は、アンケート情報記憶部114に記憶されているアンケート情報に基づいて、設問文毎に、訓練対象ユーザが訓練メールに対してどのように行動したかを訓練対象ユーザに選択肢のなかから選択させるための入力フォームであるアンケート受付画面を生成する。
【0061】
メール送信部107は、訓練メール作成部103により作成された訓練メールおよびアンケートメール作成部105により作成されたアンケートメールを訓練対象ユーザのメール端末4に送信する。
【0062】
Webサーバ部108は、メッセージ画面生成部104により生成されたメッセージ画面およびアンケート受付画面生成部106により生成されたアンケート受付画面をWAN6上に公開するWebサーバとして機能する。
【0063】
訓練レベル更新部109は、訓練対象ユーザに送信した最新の訓練メールについて、操作ログ記録部115に記録されている操作対象ユーザの操作ログおよび回答記録部116に記録されている操作対象ユーザの回答に基づいて、訓練対象ユーザの最新の訓練レベルを決定する。そして、ユーザ情報記憶部111に記憶されている訓練対象ユーザの訓練レベルをこの最新の訓練レベルに更新する。
【0064】
そして、主制御部110は、標的型攻撃メール訓練支援装置1の各部100~109を統括的に制御する。
【0065】
【0066】
まず、主制御部110は、訓練メール作成部103に、操作端末インターフェース部101を介して操作端末3より受信した訓練開始指示に含まれている訓練対象ユーザのユーザIDおよび操作内容の監視時間を通知して訓練メールの作成を指示する。
【0067】
これを受けて、訓練メール作成部103は、フィールド1111に訓練対象ユーザのユーザIDが登録されているユーザ情報のレコード1110をユーザ情報記憶部111から検索し、このユーザ情報のレコード1110のフィールド1115に登録されている訓練対象ユーザの訓練レベルを特定する(S200)。
【0068】
つぎに、訓練メール作成部103は、訓練対象ユーザに対する訓練メールのメールIDを生成する。また、フィールド1121に訓練対象ユーザの訓練レベルが登録されている訓練メール雛型情報のレコード1120を訓練メール雛型記憶部112から検索し、この訓練メール雛型情報のレコード1120およびS200で検索した訓練対象ユーザのユーザ情報のレコード1110を用いて、訓練対象ユーザに対する訓練メールを作成する(S201)。
【0069】
具体的には、訓練メール雛型情報のレコード1120のフィールド1122の登録内容(メール本文雛型)を、必要に応じてユーザ情報のレコード1110の登録内容を用いて修正することにより、訓練メールのメール本文を作成する。また、訓練メール雛型情報のレコード1120のフィールド1123の登録内容(差出人メールアドレスの作成ルール)に従い、必要に応じてユーザ情報のレコード1110の登録内容を用いて、訓練メールの差出人メールアドレスを作成する。
【0070】
例えば、訓練メール雛型記憶部112の登録内容が図6に示すものである場合、訓練対象ユーザの訓練レベルが「初級」ならば、フィールド1121に訓練レベル「初級」が登録されているレコード1120のフィールド1122に登録されているメール本文雛型において、URL1125に、Webサーバ部108内の所定の格納場所へのリンクを設定するとともに、訓練対象ユーザのユーザIDおよび訓練メールのメールIDを含むWebビーコンを付加することにより、訓練対象ユーザに対する訓練メールのメール本文を作成する。また、このレコード1120のフィールド1123に登録されている内容に従い、訓練対象ユーザに対する訓練メールの差出人メールアドレスとしてフリーメールアドレスをランダムに作成する。
【0071】
訓練対象ユーザの訓練レベルが「中級」ならば、フィールド1121に訓練レベル「中級」が登録されているレコード1120のフィールド1122に登録されているメール本文雛型において、タグ1126に、訓練対象ユーザのユーザ情報のレコード1110のフィールド1112に登録されている氏名を記述することにより、訓練対象ユーザに対する訓練メールのメール本文を作成する。また、所定の添付ファイルに、Webサーバ部108内の所定の格納場所へのリンクを設定するとともに、訓練対象ユーザのユーザIDおよび訓練メールのメールIDを含むWebビーコンを付加する。また、このレコード1120のフィールド1123に登録されている内容に従い、訓練対象ユーザのユーザ情報のレコード1110のフィールド1114に登録されているメールアドレスのローカル部をランダムに変更したメールアドレスを、訓練対象ユーザに対する訓練メールの差出人メールアドレスとして作成する。
【0072】
訓練対象ユーザの訓練レベルが「上級」ならば、フィールド1121に訓練レベル「上級」が登録されているレコード1120のフィールド1122に登録されているメール本文雛型において、タグ1127に、訓練対象ユーザのユーザ情報のレコード1110のフィールド1112に登録されている氏名を記述することにより、訓練対象ユーザに対する訓練メールのメール本文を作成する。また、所定の添付ファイルに、Webサーバ部108内の所定の格納場所へのリンクを設定するとともに、訓練対象ユーザのユーザIDおよび訓練メールのメールIDを含むWebビーコンを付加する。また、このレコード1120のフィールド1123に登録されている内容に従い、訓練対象ユーザのユーザ情報のレコード1110のフィールド1114に登録されているメールアドレスと同じドメインを有するメールアドレスを、ユーザ情報記憶部111に記憶されている訓練対象ユーザのユーザ情報のレコード1110以外のレコード1110のフィールド1114から検索する。そして、検索したいずれか一つのメールアドレスを訓練メールの差出人メールアドレスに設定する。
【0073】
つぎに、訓練メール作成部103は、訓練対象ユーザのユーザIDおよび訓練レベルと、訓練メールのメールID、メール本文中のURLあるいは添付ファイルに設定したリンク先、およびこのリンク先がメール本文中のURLに設定されているのかそれとも添付ファイルに設定されているのかを示すリンク元種別とを、メッセージ画面生成部104に通知してメッセージ画面の作成を指示する。
【0074】
これを受けて、メッセージ画面生成部104は、フィールド1131に訓練対象ユーザの訓練レベルが登録されているメッセージ画面雛型情報のレコード1130をメッセージ画面雛型記憶部113から検索し、このメッセージ画面雛型情報のレコード1130およびS200で検索した訓練対象ユーザのユーザ情報のレコード1110を用いて、訓練対象ユーザに対するメッセージ画面を作成する(S202)。
【0075】
具体的には、メッセージ画面雛型情報のレコード1130のフィールド1132の登録内容(メッセージ画面雛型の画面データ)を、必要に応じてユーザ情報のレコード1110の登録内容を用いて修正することにより、メッセージ画面を作成する。
【0076】
例えば、メッセージ画面雛型記憶部113の登録内容が図7に示すものである場合、訓練対象ユーザの訓練レベルが「初級」ならば、フィールド1131に訓練レベル「初級」が登録されているレコード1130のフィールド1132に登録されているメッセージ雛型画面をメッセージ画面(教育コンテンツ画面)とする。
【0077】
訓練対象ユーザの訓練レベルが「中級」ならば、フィールド1131に訓練レベル「中級」が登録されているレコード1130のフィールド1132に登録されているメッセージ雛型画面の画面データにおいて、タグ1134に、訓練対象ユーザのユーザ情報のレコード1110のフィールド1112に登録されている氏名を記述することによりメッセージ画面(教育コンテンツ画面)を作成する。
【0078】
訓練対象ユーザの訓練レベルが「上級」ならば、フィールド1131に訓練レベル「上級」が登録されているレコード1130のフィールド1132に登録されているメッセージ雛型画面をメッセージ画面(疑似ランサムウエア画面)とする。
【0079】
つぎに、メッセージ画面生成部104は、以上のようにして作成したメッセージ画面を、訓練メール作成部103より受け取った訓練対象ユーザのユーザID、訓練メールのメールID、リンク先、およびリンク元種別とともに、Webサーバ部108に通知してメッセージ画面の格納を指示する。
【0080】
これを受けて、Webサーバ部108は、メッセージ画面生成部104より受け取ったメッセージ画面を、メッセージ画面生成部104より通知された訓練対象ユーザのユーザID、訓練メールのメールID、およびリンク元種別に紐付けて、メッセージ画面生成部104より通知されたリンク先(格納場所)に格納する(S203)。その後、メッセージ画面生成部104は、メッセージ画面のWebサーバ部108への格納完了を訓練メール作成部103に通知する。
【0081】
つぎに、訓練メール作成部103は、訓練対象ユーザのユーザ情報のレコード1110のフィールド1114に登録されているメールアドレスを宛先メールアドレスとして、作成した訓練メールおよび差出人メールアドレスを、この宛先メールアドレスとともにメール送信部107に通知してメール送信を指示する。
【0082】
これを受けて、メール送信部107は、訓練メール作成部103より受け取った訓練メールに、訓練メール作成部103より受け取った差出人メールアドレスおよび宛先メールアドレスを設定して、この訓練メールをネットワークインターフェース部100からメールサーバ2に送信する(S204)。
【0083】
つぎに、訓練メール作成部103は、主制御部110に、訓練対象ユーザのユーザIDおよび訓練メールのメールIDを伴う訓練メール送信完了を通知する。
【0084】
これを受けて、主制御部110は監視タイマを起動する(S206)。そして、このユーザIDとともに操作端末3より受信した訓練開始指示に含まれている操作内容の監視時間の経過により監視タイマがタイムアウトするまで(S209でYES)、Webサーバ部108がS203で格納したメッセージ画面の格納場所(リンク先)に対するアクセス要求を受信するのを待つ(S206)。
【0085】
さて、Webサーバ部108は、監視タイマのタイムアウト前に(S209でNO)、S203で格納したメッセージ画面の格納場所に対するアクセス要求を受信すると(S206でYES)、このアクセス要求で指定されている訓練対象ユーザのユーザIDおよび訓練メールのメールIDと、アクセス要求で指定されている格納場所に格納されているメッセージ画面に紐付けられている訓練対象ユーザのユーザIDおよび訓練メールのメールIDとが一致することを確認することにより、アクセス要求元が訓練対象ユーザのメール端末4であることを確認する。そして、ネットワークインターフェース部100を介してアクセス要求元である訓練対象ユーザのメール端末4に、アクセス要求で指定されている格納場所に格納されているメッセージ画面の画面データを送信する(S207)。これを受けて、訓練対象ユーザのメール端末4は、メッセージ画面を表示する。
【0086】
つぎに、Webサーバ部108は、アクセス要求で指定されている格納場所に格納されているメッセージ画面に紐付けられている訓練対象ユーザのユーザID、訓練メールのメールID、およびリンク元種別(メール本文中のURLあるいは添付ファイル)を、主制御部110に通知する。これを受けて、主制御部110は、ユニークなログIDがフィールド1152に登録されたレコード1151を、訓練対象ユーザのユーザIDに対応付けられて操作ログ記録部115に記憶されている訓練対象ユーザの操作ログのテーブル1150に追加し、このレコード1151のフィールド1153に訓練メールのメールIDを登録するとともに、フィールド1154に、リンク元種別により特定される操作内容(リンク元種別がメール本文中のURLならば「メール本文中のURLを選択操作」、添付ファイルならば「添付ファイルを選択操作」)を登録する(S208)。
【0087】
その後、主制御部110は、監視タイマがタイムアウトすると(S209でYES)、アンケートメール作成部105に、訓練対象ユーザのユーザIDおよび訓練メールのメールIDを通知して、訓練対象ユーザに対するアンケートメールの作成を指示する。
【0088】
これを受けて、アンケートメール作成部105は、訓練対象ユーザに対するアンケートメールを作成する(S210)。具体的には、訓練対象ユーザに対する訓練メールのタイトル、差出人メールアドレス、および送信日時と、訓練対象ユーザの訓練メールに対する行動を問い合わせるためのメッセージと、を含み、さらに、訓練ユーザのユーザIDおよび訓練メールのメールIDを含むWebビーコンが付加されるとともにWebサーバ部108内の所定の格納場所(メッセージ画面の格納場所)へのリンクが設定されたURLが記述されたメール本文を作成する。
【0089】
つぎに、アンケートメール作成部105は、訓練対象ユーザのユーザIDおよび訓練メールのメールIDと、メール本文中のURLに設定したリンク先とを、アンケート受付画面生成部106に通知してアンケート受付画面の作成を指示する。
【0090】
これを受けて、アンケート受付画面生成部106は、アンケート情報記憶部114に記憶されているアンケート情報に基づいて、設問文毎に、訓練対象ユーザが訓練メールに対してどのように行動したかを複数の選択肢のなかから選択させるための入力フォームであるアンケート受付画面を生成する(S211)。
【0091】
具体的には、アンケート受付画面に含まれている設問文毎に、複数の選択肢のなかから一つだけ選択可能に設定するとともに、設問文および各選択肢に設問番号および回答番号を紐付けておく。そして、設問文毎に、選択された選択肢に紐付けられている回答番号をこの設問文の設問番号とともに標的型攻撃メール訓練支援装置1に送信するように、アンケート受付画面を生成する。
【0092】
つぎに、アンケート受付画面生成部106は、作成したアンケート受付画面を、アンケートメール作成部105より受け取った訓練対象ユーザのユーザID、訓練メールのメールID、およびリンク先とともに、Webサーバ部108に通知してアンケート受付画面の格納を指示する。
【0093】
これを受けて、Webサーバ部108は、アンケート受付画面生成部106より受け取ったアンケート受付画面を、アンケート受付画面生成部106より通知された訓練対象ユーザのユーザIDおよび訓練メールのメールIDに紐付けて、アンケート受付画面生成部106より通知されたリンク先(格納場所)に格納する(S212)。その後、アンケート受付画面生成部106は、Webサーバ部108へのアンケート受付画面の格納完了をアンケートメール作成部105に通知する。
【0094】
つぎに、アンケートメール作成部105は、フィールド1111に訓練対象ユーザのユーザIDが登録されているユーザ情報のレコード1110をユーザ情報記憶部111から検索し、このレコード1110のフィールド1114から訓練対象ユーザのメール端末4のメールアドレスを取得して、このメールアドレスを宛先メールアドレスとして、メール送信部107に、作成したアンケートメールをこの宛先メールアドレスとともに通知してメール送信を指示する。
【0095】
これを受けて、メール送信部107は、アンケートメール作成部105より受け取ったアンケートメールに、アンケートメール作成部105より受け取った宛先メールアドレスを設定して、このアンケートメールをネットワークインターフェース部100からメールサーバ2に送信する(S213)。
【0096】
つぎに、アンケートメール作成部105は、訓練対象ユーザのユーザIDおよび訓練メールのメールIDを伴うアンケートメール送信完了を主制御部110に通知する。これを受けて、主制御部110は、Webサーバ部108がS212で格納したアンケート受付画面の格納場所(リンク先)に対するアクセス要求を受信するのを待つ(S214)。
【0097】
さて、Webサーバ部108は、S212で格納したアンケート受付画面の格納場所に対するアクセス要求を受信すると(S214でYES)、このアクセス要求で指定されている訓練対象ユーザのユーザIDおよび訓練メールのメールIDと、このアンケート受付画面に紐付けられている訓練対象ユーザのユーザIDおよび訓練メールのメールIDとが一致することを確認することにより、アクセス要求元が訓練対象ユーザのメール端末4であることを確認する。そして、ネットワークインターフェース部100を介してアクセス要求元である訓練対象ユーザのメール端末4に、アクセス要求で指定されている格納場所に格納されているアンケート受付画面の画面データを送信する(S215)。
【0098】
これを受けて、訓練対象ユーザのメール端末4はアンケート受付画面を表示する。そして、このアンケート受付画面を介して訓練対象ユーザから、このアンケート受付画面に含まれている設問文毎に選択肢の選択を受けて、設問文の設問番号および選択された選択肢の回答番号を回答結果として標的型攻撃メール訓練支援装置1に送信する。
【0099】
つぎに、Webサーバ部108は、アンケート受付画面を介して訓練対象ユーザのメール端末4から受け付けた設問文の設問番号および選択された選択肢の回答番号を、このアンケート受付画面に紐付けられている訓練対象ユーザのユーザIDおよび訓練メールのメールIDとともに、主制御部110に通知する。これを受けて、主制御部110は、訓練対象ユーザのユーザIDに対応付けられて回答記録部116に記憶されている訓練対象ユーザのアンケート結果のテーブル1160に、訓練メールのメールIDがフィールド1162に登録されたレコード1161を追加する。そして、このレコード1161のフィールド1163に、訓練対象ユーザのメール端末4から受け付けた設問文の設問番号毎にサブレコード1164を追加して、追加したサブレコード1164のサブフィールド11641に設問文の設問番号を登録し、サブフィールド11642にこの設問文に対して選択された選択肢の回答番号を登録する(S216)。
【0100】
つぎに、主制御部110は、訓練レベル更新部109に、訓練対象ユーザのユーザIDおよび訓練メールのメールIDを通知して訓練対象ユーザの訓練レベルの更新を指示する。これを受けて、訓練レベル更新部109は、訓練対象ユーザのユーザIDに対応付けられて記憶されているアンケート結果のテーブル1160を回答記録部116から特定して、このテーブル1160から、主制御部110から通知された訓練メールのメールIDがフィールド1162に登録されているレコード1161を特定し、このレコード1161のフィールド1163に含まれるサブレコード1164各々のサブフィールド11641、11642に登録されている設問番号および回答番号を取得する。それから、訓練レベル更新部109は、アンケート情報記憶部114を参照し、設問番号毎に、回答番号がサブフィールド11431に登録されているサブレコード1143のサブフィールド11433から増減値を取得する。そして、設問番号毎に取得した増減値を合算する。
【0101】
また、訓練レベル更新部109は、訓練対象ユーザのユーザIDに対応付けられて記憶されている操作ログのテーブル1150を操作ログ記録部115から特定して、このテーブル1150から、主制御部110から通知された訓練メールのメールIDがフィールド1153に登録されているレコード1151を特定し、このレコード1151のフィールド1154に登録されている操作内容と、この操作内容に対応するアンケートの設問文(図8および図9に示す例では、設問番号Q2)に対する回答番号とを比較する。そして、両者が整合していないならば(一方が「メール本文URLまたは添付ファイルを選択操作した」であり、他方が「メール本文URLまたは添付ファイルを選択操作しなかった」である場合)、増減値の合計を所定値だけ減算する。
【0102】
それから、訓練レベル更新部109は、以上のようにして算出された増減値の合計に基づいて、対象訓練ユーザの訓練レベル(「初級」、「中級」、「上級」のいずれか)を決定する。例えば、図8および図9に示す例では、増減値の合計が-7以下ならば「初級」に決定し、-6~+3ならば「中級」に決定し、+4以上ならば「上級」に決定する。そして、訓練レベル更新部109は、訓練対象ユーザのユーザIDがフィールド1111に記憶されているレコード1110をユーザ情報記憶部111から検索し、このレコード1110のフィールド1115に登録されている訓練レベルを、新たに決定した訓練レベルに更新する(S217)。
【0103】
以上、本発明の一実施の形態について説明した。
【0104】
本実施の形態において、標的型攻撃メール訓練支援装置1は、訓練対象ユーザの訓練レベルに基づいて、標的型攻撃メールを模した訓練メールを作成し、作成した訓練メールを訓練対象ユーザのメール端末4に送信する。そして、訓練対象ユーザの訓練メールに対する所定の操作(メール本文中のURLおよび添付ファイルの選択操作)を監視する。また、訓練対象ユーザがこの訓練メールに対してどのような行動をしたかを問い合わせるアンケートメールを作成し、作成したアンケートメールを訓練対象ユーザのメール端末4に送信する。そして、このアンケートメールに対する訓練対象ユーザの回答を取得する。それから、訓練対象ユーザの訓練メールに対する所定の操作の監視結果と、訓練対象ユーザのアンケートメールに対する回答とに基づいて、訓練対象ユーザの訓練レベルを更新する。したがって、本実施の形態によれば、訓練メールに対する所定の操作の有無だけでは把握できない訓練対象ユーザの標的型攻撃メールに対する正確なスキルレベルを訓練レベルに反映させて、訓練メールを作成することができる。
【0105】
また、本実施の形態において、標的型攻撃メール訓練支援装置1は、訓練メールに対して訓練対象ユーザが所定の操作を行った場合に訓練対象ユーザに提示するメッセージ画面を、訓練対象ユーザの訓練レベルに応じて生成している。そして、訓練対象ユーザのメール端末4から訓練メールに対する所定の操作を起因とするアクセス要求を受信した場合に、訓練対象ユーザの訓練レベルに応じて生成されたメッセージ画面を訓練対象ユーザのメール端末4に送信して表示させている。
【0106】
これにより、訓練対象ユーザは、訓練メールに対する所定の操作を行った場合に、直ちにメッセージ画面を介して、その操作が不適切であったことを認識することができる。特に、訓練レベル「上級」の訓練対象ユーザに対しては、メッセージ画面として、ランサムウェアを模した擬似ランサムウェア画面を生成・提示することにより、訓練対象ユーザの標的型攻撃メールに対する警戒意識を高めることができ、訓練レベル「初級」、「中級」の訓練対象ユーザに対しては、標的型攻撃メールに対して不適切な操作を行った場合にすべき行動、あるいは標的型攻撃メールを見分けるための注意点が記載された教育コンテンツ画面を生成・提示することにより、訓練対象ユーザの標的型攻撃メールに対する理解度を向上させることができる。
【0107】
なお、本発明は上記の各実施の形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
【0108】
例えば、上記の実施の形態では、訓練対象ユーザの訓練レベルとして「初級」、「中級」、「上級」の3段階に分けているが、本発明はこれに限定されない。訓練レベルは、複数段階に分かれていればよい。
【0109】
また、上記の実施の形態では、訓練メールのメール本文中のURLあるいは添付ファイルのクリック、タップ等の選択操作を訓練メールに対する所定の操作に設定し、標的型攻撃メール訓練支援装置1は、メール端末4が、訓練対象ユーザから訓練メールのメール本文中のURLあるいは添付ファイルの選択操作を受け付けた場合に、訓練ユーザのユーザIDおよび訓練メールのメールIDを含んだ、訓練ユーザに対するメッセージ画面の格納場所(リンク先)に対するアクセス要求を送信するように、訓練メールを作成している。しかし、本発明はこれに限定されない。例えば、訓練メールの開封を訓練メールに対する所定の操作に設定し、標的型攻撃メール訓練支援装置1は、メール端末4が、訓練対象ユーザから訓練メールの開封操作を受け付けた場合に、訓練ユーザのユーザIDおよび訓練メールのメールIDを含んだ、訓練ユーザに対するメッセージ画面の格納場所(リンク先)に対するアクセス要求を送信するように、訓練メールを作成してもよい。
【0110】
また、上記の実施の形態において、操作端末3を標的型攻撃メール訓練支援装置1にローカル接続しているが、本発明はこれに限定されない。操作端末3は、WAN6を介して標的型攻撃メール訓練支援装置1に接続するものであってもよい。
【0111】
また、上記の実施の形態において、図4に示す標的型攻撃メール訓練支援装置1の機能構成は、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)などの集積ロジックICによりハード的に実現されるか、DSP(Digital Signal Processor)等の計算機によりソフトウエア的に実現される。あるいは、CPUと、メモリと、ハードディスク、フラッシュメモリ等の補助記憶装置と、NIC(Network Interface Card)等の通信インターフェースと、を備えたPC等の汎用コンピュータにおいて、CPUが所定のプログラムを補助記憶装置からメモリ上にロードして実行することにより実現される。
【符号の説明】
【0112】
1:標的型攻撃メール訓練支援装置 2:メールサーバ 3:操作端末 4、4-1~4-n:メール端末 5:ゲートウェイ 6:WAN 7:LAN 100:ネットワークインターフェース部 101:操作端末インターフェース部 102:記憶部 103:訓練メール作成部 104:メッセージ画面生成部 105:アンケートメール作成部 106:アンケート受付画面生成部 107:メール送信部 108:Webサーバ部 109:訓練レベル更新部 110:主制御部 111:ユーザ情報記憶部 112:訓練メール雛型記憶部 113:メッセージ画面雛型記憶部 114:アンケート情報記憶部 115:操作ログ記録部 116:回答記録部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】