核心概念
異なる内容のフィッシング攻撃シミュレーションを定期的に実施することで、従業員のサイバーセキュリティ意識を高め、組織のセキュリティ体制を強化できる。
要約
重要な情報インフラストラクチャ組織に対するフィッシング攻撃の比較シミュレーション:タイの鉄道会社における事例研究
本研究は、タイの鉄道会社従業員を対象に、異なる内容のフィッシングメールに対する反応を調査し、従業員のサイバーセキュリティ意識の現状と課題を明らかにすることを目的とする。
タイの鉄道会社で働く従業員735名(男性443名、女性292名)を対象に、2種類のフィッシング攻撃シミュレーションを実施した。
第一回攻撃シミュレーション
実施時期:2023年第2四半期
内容:実在するIT製品販売会社のウェブサイトを模倣した偽サイトを作成し、偽のキャンペーン情報と偽サイトへのリンクを記載したメールを送信。従業員の金銭欲に訴求する内容とした。
サイバーセキュリティ意識向上研修
対象者:第一回攻撃シミュレーションでフィッシングメールに騙された従業員
実施時期:2023年第3四半期
内容:組織データと個人データの保護に関する研修を2回に渡り、オンラインで実施。各研修は3時間であった。
第二回攻撃シミュレーション
実施時期:2023年第3四半期
内容:組織のウェブサイトを模倣した偽サイトを作成し、パスワード変更を促す偽のITスタッフからのメールを送信。従業員の恐怖心に訴求する内容とした。