向坊敦の【セキュリティコラム(標的型攻撃対策編)】第4回「標的型攻撃メールを開封したら」

はじめに

みなさん、こんにちは。新しい年を迎えたと思ったら、もう節分の日の恵方巻の広告がでるようになりました。この恵方巻ですが、丸かぶりの方角は十干(じっかん)という暦に基づいて決められているようで、16方位ある中で恵方とされる方角は4つの方角しかないそうです。ちなみに2018年の方角は「南南東」です。さて今回のコラムについてですが、社員へのセキュリティの教育について話を進めたいと思います。

実際にマルウェアに感染したら人はどのような行動をとるのか?

社員の方が実際にマルウェアに感染したらどのような行動をとるのでしょうか?それは感染の種類やどのような教育をしているかよって変わってくると思いますが、結局のところ実際に感染してからでないとわかりません。社内ルールに従って情報システム部門に連絡してくれる方もいらっしゃれば、「少しおかしいメールだったけれど、勘違いかも知れないし」「感染したことが周囲に知られると恥ずかしい」など、様々な理由で連絡してくれない方もいるかもしれません。でも、実際にマルウェアに感染してから、さまざまな理由で情報システム部門にすぐに連絡していただけない方がいることが把握できても手遅れですよね。では、どうすれば良いのでしょうか?その有効な対策手段の1つとして訓練による社員への教育啓蒙があります。

セキュリティ教育の内容の変化について
実は近年の標的型攻撃の手口が巧妙化してきているのに伴い、セキュリティ教育の内容は変わってきています。標的型攻撃はメールの添付ファイルの開封や本文にあるリンクをクリックしてWebサイトにアクセスすることによりマルウェアに感染することが大半になります。2015年の日本年金機構での標的型攻撃による情報流出のニュースはまだ記憶に残っている方も多いと思いますが、それより以前の標的型攻撃メールは図1のように、メールの内容をしっかり見ると不審なメールであることに気づくことが多かったのです。

図1 IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」より転載

そのため、セキュリティ教育では「メールの内容に不審なメールの気づきポイントが含まれていないか、しっかり見るように!」と指導することが一般的でした。訓練のために標的型攻撃メールを疑似的に作成して社員に送信する際も、開封した人には「よく見れば不審なメールとわかるのに、なぜ開封したのか?」と注意され、結果レポートでも昨年実施した時の開封率より何%改善されたかがポイントとなっておりました。

しかし今の標的型攻撃メールはしっかり見ても、通常のメールと見分けがつかないものが多くなってきています。またランサムウェアであれば、感染したことに気が付きやすいのですが、次の図2のような特徴から感染したことに気が付かない場合も多くあります。

図2 ランサムウェアとの決定的な違い

根本的な解決策はありませんが、「添付ファイルを見たけど、何かおかしいな。」など何か異変に気が付いた時に、気のせいかもしれなくても連絡するよう教育し、本当にそれを実施してもらえるくらいまで社内に浸透しているのか、他に教育で伝えておくべき内容はないのかチェックするために訓練を実施することで、リスクを最小限に抑えることができます。例えば訓練メールで添付ファイル開封したにもかかわらず、すぐに連絡しなかった社員へ理由を確認し、「緊急の業務があってそちらを優先している間に連絡を忘れてしまった。」という回答が得られれば、次回に教育する際の説明を工夫することが可能となります。

標的型メール訓練を実施する上でのポイント

ここで標的型メール訓練を検討する上でのポイントについて説明します。一般的に訓練における問題点として、次の図3のようなものが挙げられます。


図3 標的型メール訓練における問題点

毎回、標的型メール訓練の差出人のアドレスや添付ファイルの種類等が同じであると、訓練を受ける側も過去の経験から訓練メールであることがすぐにわかり、訓練の意味が薄れてきます。また添付ファイル開封やメール本文のURLリンクをクリックしたかどうかだけでなく、実際に感染した場合に被害を最小限にするという観点からいうと、報告までにどの程度時間がかかっているのか等も把握することが必要になってきます。上記の問題を考慮すると標的型メール訓練のポイントは図4のようなものが挙げられます。


図4 標的型メール訓練のポイント

図4のポイントの1つ目にある「様々なパターンを工夫」とは、攻撃パターンやメールの内容や送信タイミングを変えるなど、標的型メールにより近い形での訓練を実施するということです。攻撃パターンを添付ファイルやURLリンク等を使い分けて工夫し、添付ファイルの形式についてもワードやPDF、パスワード付きZIPなどを駆使することで、訓練の効果を高めることができます。

最後に

現在のセキュリティの状況は残念ながら技術的な対策では100%防御は難しくなっています。ただし、日ごろからセキュリティ意識をもち、メールを送ってきた人に「こういうメールを送信されましたか?」と確認するといったような癖をつけるよう、教育することでリスクを最小化することは可能です。是非これを機会に標的型メール訓練をご検討されてみては如何でしょうか?弊社でもご提案できますので、気軽にお問い合わせいただければと思います。

[参考]
標的型攻撃メール訓練サービス「gINC」
https://www.si-jirei.jp/secure/ginc/

Related post

更新情報

最新コラム

  1. こんにちは。吉政創成の吉政でございます。今日は「コミュニケーション効率の向上で業績が好転するのはなぜ…
  2. こんにちは。吉政創成の吉政でございます。第十回:「一万円前半で買えるCisco無線LANアクセスポイ…
  3. こんにちは。吉政創成の吉政でございます。今日は「お金をかけずに直帰率を改善する方法」という内容で書き…

ログインステータス

You are not logged in.
Return Top