ペネトレーションテストというものがある。
いわゆる浸透テストとか言われるもので「侵入テスト」「侵入実験」「疑似アタックテスト」などと言うこともあります。
これは脆弱性などを確認したりするものですが、分かりやすいので言うとメールなどのテストがあります。
偽のメールを流してURLにアクセスさせて情報を抜き取ったり、アクセスさせることでセキュリティー意識を確認するというものです。
エクセルファイルが添付されたものもあれば、懸賞金が当たりましたので送り先を入力してくださいなど様々です。
最近こういったことに関するお仕事を受けて問題なく終了したのですが、やろうと思えばどこまででも出来ると実感したと同時に加減が難しいと認識しました。
むしろやりすぎると絶対に引っかかるんですが、そこまでやると回避出来ないよな~、それはテストにならんだろう・・・?みたいな案もありました。
例えば部署内の人しか知らない交流会や歓迎会などの写真をアップロードしましたので確認してくださいといったもの。
昨今のコンプラ的にどうか?というのは置いておいてこれは見てしまう人も多いですが、部署内の人間しか知りえない情報をもとに、かつ限定的な情報を混ぜた場合は判別が出来ません。
他にも昇進に関するものなどもあり、本来は上長しか知りえない昇進に関するお知らせなどがメールで来たら、疑うより以前に"確認せざるを得ない"ものとなります。
もちろんこれを本当に外部の人が知らない状態でピンポイントで出した場合は天晴というしかないのですが、「見ないといけない状況」を作り出す際において、センシティブすぎる情報を多用すると、そもそものテストとしての評価が微妙になります。
もちろん「あなただけに今回だけ特別に抽選の結果3億円が当選しました、振込手数料として1万円を夕方までに振り込んでください」とか言うのに引っかかるのは論外なんですが、各個人の細かい情報を使ってテストすると評価として使えない。
中にはもっと個人の情報に絞ったものでどんどん釣っていけばいいという人もいるかもしれませんが、あくまで疑似のテストになるので、実際にそこまでの情報を掴んでいる本物の詐欺師ならそんなまわりくどいことせずにもっと良い方法を使うでしょう。
企業側のコンプラや事前の確認なども必要なので(いきなりそういうメールが来たら確認が殺到して業務に支障が出たり、不快に思う人も多数出てしまいます)際限なく際どいやり方は実際には出来ないのですが疑いつつも見てしまうラインを攻めるにあたっての加減というのが結構難しいと感じました。
関連記事
