サイバー攻撃の手口は年々巧妙化しており、従来の座学や形式的な訓練だけでは、実践的な対応力の定着が難しくなっています。実際の被害を防ぐためには、自社の業務フローやリスクに即した“リアルに近いシナリオを想定した訓練”が必要です。

本記事では、標的型攻撃メールやEmotetなど、代表的なサイバー攻撃に適したシナリオ例をまとめています。また、教育担当者が迷わないよう、確認ポイントも整理しつつ、シナリオ設計のポイントを解説します。

サイバー攻撃訓練を実施するにあたって、企業が優先したいのは、主に以下の攻撃を想定したシナリオです。

• 標的型攻撃メール

• Emotet

• フィッシング詐欺

• スミッシング

• ランサムウェア

• 二重脅迫型ランサムウェア

それぞれ代表的なサイバー攻撃に適したシナリオを設計できるよう、確認したいポイントも踏まえて解説します。

標的型攻撃メールは、特定の企業・部門・個人を狙い、業務に関連する内容を装ったメールを送りつけるサイバー攻撃です。添付ファイルやURLリンクからマルウェアに感染させることを目的としています。

▼訓練シナリオ例

取引先の担当者を装い、「請求書の修正版を添付しました。ご確認ください」という件名のメールを経理部門に送ります。添付ファイルを開くと、マクロが実行されたり、不正なリンクへ誘導されたりして、端末がマルウェアに感染する想定で訓練を実施します。

▼確認ポイント

• 不審なメールを受信した際、開封前に送信元アドレスを確認できたか

• 添付ファイルを開く前に、送信者に電話など別の経路で真偽を確認したか

• 感染が疑われる場合、速やかにネットワークから切断し、情報システム部門へ報告できたか

Emotetは、過去にやり取りした実在のメールを悪用し、返信を装ってマルウェアを送りつけるサイバー攻撃です。感染するとメールアカウントやメールデータなどが窃取され、情報が次の攻撃メールに悪用される可能性があります。

▼訓練シナリオ例

実際に社内でやり取りされたメールの件名に「Re:」を記載し、過去の本文を引用したメールを送ります。本文中に「内容を更新しました」と記載してマクロの有効化を促し、指示に従うとEmotetに感染するというシナリオで訓練します。
結果として、添付ファイル内の指示に従ってマクロやコンテンツを有効化すると、Emotetに感染するシナリオが設計できます。

▼確認ポイント

• 過去のやり取りを装ったメールでも、添付ファイルの拡張子やマクロ有効化の要求に気づけたか

• 感染拡大を防ぐため、同じメールを受信した可能性のある社員への一斉通知ができたか

• 取引先への二次被害を防ぐ連絡フローが機能したか

フィッシング詐欺は、銀行・クラウドサービス・社内システムなどの正規サイトを模倣した偽サイトに誘導し、ID・パスワード・クレジットカード情報等を入力させるサイバー攻撃です。

▼訓練シナリオ例

「社内ポータルのパスワード有効期限が切れます。24時間以内に更新してください」という緊急性を煽るメールを対象の社員に送信します。リンク先は社内ポータルに酷似した偽サイトで、IDとパスワードを入力すると認証情報が窃取されるシナリオで訓練します。

▼確認ポイント

• URLのドメインが正規のサイトと異なることに気づけたか

• 緊急性を煽る文面に対して冷静に対処できたか

• 誤って認証情報などを入力してしまった場合、パスワード変更と報告を速やかに実行できたか

スミッシングは、SMSを使ったフィッシング攻撃です。宅配便の不在通知や携帯キャリアを装ったメッセージで偽サイトに誘導し、個人情報やアプリのインストールを促します。業務用スマートフォンの普及に伴い、企業でも被害が増加しています。

▼訓練シナリオ例

業務用スマートフォンに「お荷物のお届けにあがりましたが、不在のため持ち帰りました。確認はこちら」というSMSを送ります。リンク先で偽サイトへの情報入力や不正アプリのインストールを求められ、認証情報や端末内データが窃取される想定で訓練シナリオを設計します。

▼確認ポイント

• SMSのリンクを安易にタップせず、公式アプリや公式サイトから直接確認する習慣があるか

• 業務用端末に不審なアプリをインストールした場合の報告ルートが明確か

• MDM（モバイルデバイス管理） による遠隔ロック・ワイプの手順が整備されているか

ランサムウェアは、端末やサーバー内のファイルを暗号化し、復号と引き換えに身代金を要求するサイバー攻撃です。VPN機器の脆弱性やリモートデスクトップ経由の侵入が、代表的な侵入経路として確認されています。

▼訓練シナリオ例

営業部門の共有フォルダにアクセスすると、すべてのファイルが暗号化され、業務が停止する想定で進めます。調査の結果、VPN機器の脆弱性を突かれて侵入されたことが判明するシナリオです。

▼確認ポイント

• 組織の手順に従い、感染が疑われる端末をネットワークから隔離し、速やかにセキュリティ担当者へ報告できたか

• バックアップからの復旧手順が事前に整備・周知されていたか

• 身代金の支払い可否について、経営層を含めた意思決定プロセスが機能したか

二重脅迫型ランサムウェアは、ファイルの暗号化に加え、窃取したデータの公開をちらつかせて身代金を要求するサイバー攻撃です。「支払わなければ顧客情報をダークウェブに公開する」と脅迫するため、バックアップだけでは対処できない点が従来型のランサムウェアとの大きな違いです。

▼訓練シナリオ例

社内サーバーのファイルが暗号化されると同時に、「顧客データ10万件を窃取済み。48時間以内に支払いがなければリークサイトに公開する」という通告を送ります。個人情報保護委員会への報告義務・顧客への通知・メディア対応を含む全社的な危機対応を迫られる想定でシミュレーションします。

▼確認ポイント

• 情報漏えいの可能性がある場合、個人情報保護法に基づく報告・通知のフローが整備されているか

• 広報部門がメディア対応のステートメントを迅速に準備できるか

• 法務部門が法的リスクの評価と外部弁護士への相談を速やかに開始できるか

効果的な訓練にするには、シナリオの内容だけでなく、設計の考え方も重要です。

訓練は、一般的によくある攻撃を並べるだけではなく、自社で現実的に起こりうる脅威を想定してシナリオ化することが重要です。例えば、業務環境に応じて以下のようにシナリオを設計できます。

• 取引先とのメール授受が多い企業：標的型攻撃メール・Emotet

• リモートワーク環境が多い企業：VPN経由のランサムウェア侵入

自社の過去インシデントや業界動向も踏まえて攻撃シナリオを設計することで、参加者の当事者意識が高まり、実践的な対応力の定着につながります。

同じサイバー攻撃でも、一般従業員・情報システム部門・経営層では求められる対応が異なるため、階層ごとに訓練目標を分けることが重要です。一般従業員には不審メールへの気づきや報告、情報システム部門には封じ込めや原因調査、経営層には事業継続や対外対応の判断など、役割に応じたシナリオ設計が必要です。

階層別に目標を設けることで、単なる個人訓練ではなく、組織として連携できる実践的なサイバー攻撃訓練になりやすく、全社的な対応力向上につながります。

サイバー攻撃訓練は実施して終わりではなく、結果を振り返り、次回に改善を反映する仕組みづくりが重要です。例えば「報告が遅れた」「連絡系統が機能しなかった」「判断基準に迷いがあった」といった課題を洗い出すことから始めます。

また、シナリオや対応手順を見直すことで、訓練の実効性は高まります。訓練後にレビュー会やチェックシートを設けると、毎回の訓練が形骸化せず、現実のインシデント対応に活かせる継続的な教育施策として機能しやすくなります。

シナリオを設計しても、座学や読み合わせだけでは行動変容につながりにくいことが課題です。攻撃の流れを理解していても、本番で同じように判断できるとは限りません。

その点、セキュアプラクティスのような体験型訓練は、代表的なサイバー攻撃をはじめ、設計したシナリオに基づいて、攻撃を受けた場面や初動対応を疑似体験できます。結果として、受講者が当事者として判断しやすくなります。

継続的な訓練に活用しやすく、自社環境に合わせたシナリオ調整にも対応しやすい点が特徴です。

効果的なサイバー攻撃訓練の実現には、自社で起こりうる攻撃の選定・階層別の目標設定・振り返りによる改善の仕組みが欠かせません。シナリオを作って終わりではなく、実務に近い形式で訓練し、継続的に見直すことが重要です。

また、知識を増やすだけではなく、実際に「判断・報告・対応まで」を身につけるには、体験型訓練も有効です。セキュアプラクティスのような体験型ツールは、訓練の形骸化を防ぎながら、組織全体の対応力を高める選択肢として挙げられます。