標的型攻撃メール訓練とは何か | 標的型攻撃メール訓練について

イントロダクション

少し前のことですが、役員から電話がかかってきました。

「怪しいメールが届いた。」

まあ時折あることなのでと思い、開封せずに破棄をお願いしようと思っていたのですが、「文面や添付ファイルは明らかに怪しいのだけど、宛先のアドレスが妙だ。」というので実物を見に行きました。

送付されていたメールは「〇月度請求書」というタイトルで、Excelファイルが添付されており、支払処理を依頼するような内容でした。
ただ、送付先が確かにおかしいのです。
担当役員、部門長、購買担当の課長等、支払の処理や決裁に関わる人宛にきれいに送られています。

明らかに組織内部の状況が分かった上での送付です。
メールの文面等がもう少し巧妙であれば、引っかかっていた可能性があります。

内部犯行を疑うより、メールサーバに不正にログインされて社内メールがトレースされている可能性の方が高いため、全社一斉にメールパスワードの変更を依頼しました。

これはメール運用をGmailに切り替える少し前のことです。
他のメールサービスからGmailへ転送を行っていたため、セキュリティ対策に抜け穴があり、狙われたのは他のメールサービスの側だったようで、切替後はGmailの迷惑メールフィルタもありこの手のメールの連絡は減っています。

世の中では日本航空が巨額詐欺被害にあいかけたり、ビジネスメール詐欺という言葉が飛び交っていた時期でもあり、標的型攻撃メールの訓練を検討することになりました。

スポンサーリンク

標的型攻撃メール訓練とは

標的型攻撃メールとは

まず標的型攻撃メールとは何か、というところですが、具体例はイントロダクションに書いたメールそのものです。

昔ながらの(?)怪しいサイトに誘導する「〇〇〇〇のサングラスが××%OFF!」のようなメールでは無く、あたかも業務のメールであるかのように装い、添付ファイルや本文記載のURLへ誘導してウィルスやマルウェアに感染させる手口のメールです。

手口は杜撰なものから巧妙なものまであります。イントロダクションでも少し触れた日本航空の巨額詐欺の件については以下のように非常に巧妙なメールで自身の口座にお金を振込ませようとして、ほぼ成功していました(口座が凍結されていたため振込はできなかった)。

・相手先の担当者のメールアドレスと1文字しか違わないメールアドレスを使用
・相手先の担当者がメールを送信した直後に「修正版」という形でメールを送付
・請求書がPDFで添付されているが、本物と書式やサインまでそっくり

尚、メールをしていた相手はアメリカの企業で、航空機リース料の振込に関するやり取りで、振込を行った額は3.8億円だったそうです。
企業の規模や支払いの額の大きさから、担当者1人が騙されたのではなく、何人ものチェックが行われた上でそれを擦り抜けており、1通のメールで4億近いお金が騙し取られかけたということで発生直後から大きな話題になった事件でした。

問題のきっかけはこの1通だけですが、実際は長期に渡ってメールが盗聴されており、どの頻度で、誰から誰に対して、どのような書式のファイルを添付して請求が行われているかを把握した上で、準備を全て整えた上で1通目のメールが送られるのを待ち構えていたのです。

ちなみにメールが盗聴されていたのは日本航空ではなくアメリカ側のメールだったようで、自社の対策を万全にしても相手側の対策次第でセキュリティは簡単に破られる、という側面もありました。

こうした企業活動を標的とした標的型攻撃メールで金銭を詐取する詐欺を「ビジネスメール詐欺(BEC)」と呼びます。

標的型攻撃メール訓練とは

こうした被害の拡大から、標的型攻撃メールから企業を守るために、「怪しいメールを開かない」訓練を行うのが標的型攻撃メール訓練です。

「怪しいメールは開かないでください」なんてもはや何十回何百回と言ってきたし聞いてきたことかと思いますが、それでも被害が起こっているのですから開く人はいます。
注意するだけで守られているか把握するのが難しいですし、守られていないことが分かる時=何か問題が発生した時ですから、そうなってからでは遅いです。

標的型攻撃メール訓練は多くの企業がサービス提供しています。サービス名はだいたいどこも「標的型メール訓練サービス」ですので、企業名だけ列挙します。

日立ソリューションズNTTテクノクロス大塚商会富士通エフサスNECフィールディング大日本印刷神戸デジタル・ラボ東北インフォメーション・システムズアルファネットパープルプロセス&テクノロジー

大手SIer、販社、フィールド系、ユーザー系、初めて聞く会社まで取り扱っています。

提供されるサービスは基本部分はほぼ同じで、訓練用メールを作成して、対象者に送信⇒受信者がメールを開封したか(開封率)や添付ファイルを開いたか等の情報を採取してレポートとして提供します。現在の標的型攻撃メールへの反応を確認すると共に、フィードバックとしてこういうメールに注意しよう、というようなメッセージを送付する、というようなところまでが一連の流れです。
サービス毎に付随するサービスやオプション、価格が変わると思ってください。

これだけ多くの企業が参入してきているということは、①それだけニーズがある、②それだけ儲かる、ということでしょう。
確かにメールの開封率確認くらいならさほど難しい技術ではないでしょうし、納品される成果物は結果のデータだけですからアフターメンテナンスや運用中の不具合の可能性も少なく、提供側のリスクが低いサービスのようにも見えます。
送付数を限定したり、レポートの公開範囲を限定した上で無料で提供しているところもあります。

どのサービスを選ぶかは、訓練に求める内容や費用感等色々な選択があると思いますが、一番大事なのは標的型攻撃メール訓練をどのような計画に基づいて行うかです。

スポンサーリンク

中締め

セキュリティ対策のはずが問題発生!?

この標的型攻撃メール訓練は上記のようにかなり流行ったおかげで、IPAから注意喚起が出るくらいの問題を発生させたこともあります。

セキュリティ対策の訓練のはずが、日本の情報処理の総元締めであるIPAから怒られるなんて、何をしたのでしょうか。
次回はこの話をベースに訓練において気を付けなければいけないポイントをお話していこうと思います。

この記事をシェアする

この記事が気に入ったら
いいね!をお願いします

セキュリティカテゴリの最新記事