昨今のサイバー攻撃でもメールは主要な侵入経路である．特にEmotetに代表されるように，侵入した機器の過去のやりとりを参照し，半自動的になりすましメールを生成，送付する攻撃は実行コストが低く攻撃の効果が高いため，大きな脅威になっている．これに対して，攻撃メールの認識能力を高める効果が期待される攻撃メール訓練が以前から行われているが，なりすましメール攻撃に対する効果の測定と考察は十分に行われていない．本研究では，同一IT企業に所属する345 名の調査参加者を対象に，返信を装い差出人になりすます「返信を装ったなりすましメール」を題材として攻撃メール訓練を行うことで，なりすましメール攻撃に対する効果の検証を行った．本検証では過去のやりとりの参照や新たなやりとりの生成は行わず簡易的ななりすましとし，差出人表記，件名および文面の異なる3種類の擬似攻撃メールを用意し，同一の擬似攻撃メールが届かないよう2回送信を行い，メールに埋め込まれたURLのクリック率について訓練回数との相関を調査した．その結果，2回目の擬似攻撃メールに対するクリック率が1回目と比較して低下するものと，そうでないものがあることが分かり，1回目のクリック率が高いメールほどクリック率の低下が大きいことが分かった．また，クリック率の低下は，擬似攻撃メールの具体的な注意点の解説を行わなくても，擬似攻撃メールの受信，もしくは訓練を行った旨の通知の受信により生じることが分かった．このように「返信を装ったなりすましメール」に関するメール訓練を行うことにより，同種の攻撃メールに引っかかる確率を低減させる効果がある場合があり，その効果は攻撃成功率の高いメールにおいて訓練後のクリック率の低下が大きく，訓練全体の効果は主に攻撃成功率の高い訓練メールに対する耐性の向上という形で表れていることが分かった．

E-mail is a major intrusion route in recent cyber-attacks. In particular, attacks such as Emotet, which generate and send spoofed messages semi-automatically by referring to the past communication of the intruder's device, have become a major threat because of their low execution cost and high effectiveness. In response to this, attack mail training has been conducted for some time to improve the ability to recognize spoofed mail, but its effectiveness has not been adequately measured and discussed. In this study, we prepared three types of spoofed e-mails with different sender names, subject lines, and sentences, using “spoofed e-mail pretending to be a reply,” which is a typical example of a simple spoofed e-mail, to 345 survey targets who belong to the same IT company, and sent them twice to avoid receiving the same pseudo-attack e-mail. We examined whether the click rate of URLs embedded in the e-mails was in correlation with the number of training sessions. As a result, it was found that the click rate for the second pseudo-attack email decreased compared to the first time, and some did not, and it was found that the click rate decreased larger for the email with the highest click rate of the first time. We also found that the decrease in the click rate was caused by the receipt of the pseudo-attack mail or the receipt of a notification that training had been conducted, even if no explanation of specific precautions for the pseudo-attack mail was given. The effect of the training on “spoofed e-mail pretending to be a reply” was found to be higher for e-mail with a high success rate, and the overall effect of the training mainly took the form of an increase in the tolerance to training e-mail with a high success rate. The overall effect of the training was found to be mainly in the form of an improvement in tolerance to training e-mails with high attack success rates.