東京商工会議所は、会員中小企業・小規模事業者を対象に2019年度から毎年実施している「標的型攻撃」メール訓練の結果を発表しました。今回は「予定していないオンラインミーティングへの参加案内」を装ったメールが送信されましたが、開封率は14.9%となり、前年度の6.1%から大幅に上昇する結果となりました。
巧妙化する「Teams」偽装
訓練は2025年9月、84社1,146人を対象に行われました。送信されたメールは「Teams by Microsoft」を名乗り、「Teamsミーティングに招待されました」という件名で、偽のウェブ会議へ誘導する内容でした。
開封してしまった対象者のアンケート結果では、「メールの内容が具体的・自然で本物だと思った」および「怪しいと思ったが、開いてみないと判断できないと思った」との回答がいずれも31.0%で上位を占めました。業務で日常的に使用するツールを模倣されたことで、心理的なハードルが下がり、多くの従業員が開封してしまった状況が明らかになりました。
建設業や小規模組織で高いリスク
業種別の開封率を見ると、建設業が32.6%と突出して高く、次いで卸売業が18.2%となりました。一方、製造業は9.0%、情報通信業は10.8%と比較的低い結果にとどまっています。
従業員規模別では、21〜50人の企業で17.7%と最も高い開封率を記録しました。また、役職別の分析では、経営者・経営幹部の開封率も14.9%となっており、一般社員(肩書なし14.2%)と比較しても同等以上の割合で開封していることから、役職に関わらずサイバー攻撃のリスクに直面していることが示されました。
業務直結型ツールの落とし穴と具体的対策
今回の訓練結果は、TeamsやZoomなど日常業務に深く浸透しているツールを装う攻撃に対しては、警戒心が働きにくいことを示唆しています。特に、「怪しい」と感じつつも「確認のために開く」という行動を取ってしまった従業員が約3割いた点は、教育上の重要なポイントです。
人材育成担当者は、単に「不審なメールを開かない」という精神論にとどまらず、送信元アドレスのドメイン確認や、リンクにカーソルを合わせて実際の遷移先URLを確認するといった、具体的かつ技術的な真偽判定のテクニックを教育カリキュラムに組み込む必要があります。
経産省「セキュリティ対策評価制度」準備は万全ですか? ⇒ 「インシデントに強い組織をつくる 新しい情報セキュリティ研修」eBookを無料ダウンロードする
関連記事を見る
・情報セキュリティ5か条を実践するには?3ステップで従業員の意識を向上
https://www.lightworks.co.jp/media/information-security-5-rules/
・情報セキュリティ研修のテストの作り方は?すぐに使える公的資料を紹介
https://www.lightworks.co.jp/media/information-security-test-training-materials/
・情報セキュリティ教育とは?形骸化させない効果的な手法を解説
https://www.lightworks.co.jp/media/information-security-education/
・インシデントに強い組織を作る情報セキュリティ教育とは?
https://www.lightworks.co.jp/media/information-security-incident/
・【計画シート有】情報セキュリティリテラシーとは?効果的な教育・研修方法を徹底解説
https://www.lightworks.co.jp/media/information-security-literacy/
・内部統制報告書を見据えた、実効性の高い情報セキュリティ教育の実践ガイド
https://www.lightworks.co.jp/media/internal-control-information-security/
資料の詳細は、以下をご覧ください。
東京商工会議所, 中小企業・小規模事業者に対する「標的型攻撃」メール訓練実施結果
https://www.tokyo-cci.or.jp/page.jsp?id=1207378
