情報セキュリティマネジメント試験の問題を見て

今春から新設された情報セキュリティマネジメント試験の過去問が公開されてます。
平成28年度 過去問題

内容を途中まで見た感想を記載したいと思います。
【1点目】
午後問題の3ページ目で標的型攻撃メールとばら撒き型メールが問題となってます。
標的型攻撃メールは年金機構で話題となってから言葉が一人歩きしているように感じていました。
本来の目的である「データ流出を防ぐ」という事よりも「標的型攻撃メールを防ぐ」事に焦点があてられ、
意味合いもばら撒き型と混同されている印象を持ってましたので、問題として明確化してくれたのは良かったと思います。

【2点目】
午後問題の10ページ目で標的型攻撃メール訓練について言及されています。
訓練については様々な議論があるかと思いますが、メール受信後や添付ファイル、URLクリック後の報告、エスカレーションといった部分が一番重要だと考えていました。
解答内容が同じ考えであったので後ろ盾を得た気分でした。
（誰かを説得する際に、IPAでは～という説得の仕方が可能になるため）

クリック率を0%にする事は出来ませんので、クリックしたかどうかだけで評価する事は本質を見失います。
訓練では攻撃を受けてから一人一人が適切に対応出来るか確認するとともに、対応マニュアルの評価も同時に行って欲しいと思います。


この試験ではセキュリティに詳しくない人は元より、IT従事者以外にも受けてほしいと思いました。

マルウェア付きメール

件名：Re: Re: billing reminder
添付ファイル名：due_bill_674214.doc

■VirusTotalの情報
SHA256:767944ad1b275795b153e74f778a78e9b6fb4ee781a7314e8415d6f32e4604a7

■実際のメール

■送信元ドメインのサイト
4/1時点で確認した際にはハッキングされた旨の注意書きがありましたので、乗っ取られてマルウェア付きメールをばら撒いたのかと思います。
受信したメールアドレスは公開しているアドレスではなく、いくつかのサイトに登録しているくらいなので、どこかで流出した可能性があるのでしょう。

--追記--
ブラウザでGmailを見た際には画像の通り、ウイルス検知によりダウンロードできません。
AndroidのGmailアプリでは警告メッセージは出てますがダウンロードが可能となってますので、
スマホでダウンロードしたファイルをVirusTotalにアップロードしております。