標的型攻撃メール訓練の悪い例 | 標的型攻撃メール訓練について

標的型攻撃メール訓練の悪い例 | 標的型攻撃メール訓練について

前回のおさらい

 

前回は標的型攻撃メールからビジネスメール詐欺の実例、標的型攻撃メール訓練の概要をお話しました。

ビジネスメール詐欺の話は、JALの件が発生してすぐくらいのタイミングで経営層も出ている会議でちょっとだけ説明したところ、かなりの食いつきがありました。
今回お話している標的型攻撃メール訓練の検討に至った原因の一つでもあります。

セキュリティの重要性はみんななんとなく分かっていながら優先度が下げられることが多い中で、「ウィルスに感染する」よりも「JALでも詐欺被害にあう」のほうが響いたのでしょう。

その感覚自体の良し悪しもありますが、欲するところに興味を向けてもらうためには餌撒きを怠ってはいけません。営業活動と同じで、興味を持っていない人でも工夫によって振り向いてくれれば見込客にランクアップします。諦めずに少しずつランクを底上げしていくことがリテラシー向上、ひいてはセキュリティ向上に繋がっていくのです。

さて、前回の最後に標的型攻撃メール訓練サービスが盛況になった結果、IPAから怒られた、という話で終わりましたが、今回は標的型攻撃メール訓練の悪い事例から、訓練のために何を準備しなければいけないかという話をしていきます。

スポンサーリンク

標的型攻撃メール訓練の悪い例:レベル1

抜き打ちで訓練メール送付⇒情シスがパンク

標的型攻撃メール訓練(以下訓練)を行うには、対象者に対して訓練メールを送付します。
セキュリティ意識の高い情シスのAさんが、「セキュリティ対策に対象外の人なんていない!」といって抜き打ちで訓練メールを全社に一斉送信しました。

結果、何が起こるか。

「怪しいメールがきた」という連絡が一斉に情シスに入ってきます。
しかも社内のほとんどの人から。

実際に社内問合せ対応をしている方ならお分かりだと思うが、たとえそれが決まりきった回答を返すだけでも手間が取られます。渡しの場合、平常時で日に2~3件の問合せがあり、5~6件もあれば「今日は問合せが多いなぁ」と感じます。

それが20件、30件というレベルで問い合わせが来るのです。
端から回答していったとしても、他の業務に手が回らなくなります。
連絡してくる人たちはセキュリティの意識が高いか、よくわからないけどルールなので連絡してきた従順な人たちです。Aさんからの回答をただひたすらに待っています。

他の業務が後日に回せるような状況なら良いですが、来客や外出予定、他の問合せや障害が発生すれば、たちまちパンクしてしまします。

インシデント発生時の報告ルートを整備しよう

こうなった原因は、セキュリティインシデント発生時の報告ルートが整備されていないことです。
セキュリティに関する問題が発生した場合、いきなり情シスに直接連絡ではなく、直接の上司(課長)⇒部門のセキュリティ管理者⇒(部門長(部長)⇒)情シスのようにルートを決めておきます。
全社運用ルールなので、文書化して、文書管理番号を採番し、承認を得た上で配布する、という手続きが必要と考えます。

情報伝達を交通整理しておくことで、ステークホルダーに漏れなく状況が伝達されます。もちろん緊急度によっては直接電話連絡ということもあるとは思いますが、事後でもいいのでルート上の人には必ず一報入れるルールにしておかなければいけません。

「整備はしているけど、気にせず直接電話してくる」という人もいるかもしれませんが、訓練前に再度周知徹底を展開しておく等により、多少は件数を抑えることができます。

標的型攻撃メール訓練の悪い例:レベル2

抜き打ちで訓練メール送付⇒現場を振り回して敵にまわす

報告ルートも整備して、事前の周知も行った情シスのBくんが「うちはルールがしっかりしているから、情シスがパンクしたりなんかしないもんね」と、こちらも抜き打ちで訓練メールを全社に一斉送信しました。

結果、何が起こるか。

送られた人はルールに乗っ取って自分の上司に報告します。しかし上司もすぐに外出しなければならない要件があり、焦ってセキュリティ管理者に報告に行ったら、今度はセキュリティ管理者が課長連中に取り囲まれています。

全社が同じ動きを取るので、報告ルートに情報が集中します。セキュリティ管理者は一斉に報告されてくる怪しいメールの情報に、「全社を狙った大規模な攻撃では!?」と思い、部門長に報告しようとします。
部門長は休暇中でしたが、重大インシデントであれば報告を怠るわけにはいきません。
「お休みのところ失礼します、実は…。」と携帯で連絡を入れます。

その上で情シスに報告したところ、Bくんから能天気な回答が返ってきます。
「あのメール、実は訓練でした、皆さんちゃんと報告してくれたんですねー。」

重大インシデントと思って散々振り回されたセキュリティ管理者。
アポイントに遅れると連絡を入れてまで報告しにきた上司。
休みの日に重大インシデントの報告を受けて出社準備までした部門長。

Bくんは全員から恨まれることになったのでした。

セキュリティ訓練は避難訓練と同じと心得る

この例の失敗ポイントは「抜き打ち」です。
「セキュリティ訓練なのに事前に通知したら訓練にならないじゃん!」とお思いかもしれませんが、避難訓練だって大体事前に通知してからやります。

本当に火事が起こったと思って119番しだす人がいたら困ります。
部門や会社の今後を左右するような大事な商談の真っ最中に、命の危険があるならと避難したところ、「訓練でした」とドッキリ大成功のように言われれば激怒では済まないかもしれません。

セキュリティ訓練も避難訓練も、インシデントが発生した想定で個人が対応ができるかだけではなく、報告ルールやルートがきちんと機能しているか確認する意味合いもあり、組織としての対応を評価するためのものでもあります。
上記の例であれば、上司や部門長、少なくともセキュリティ管理者には事前に通知した上で訓練を行うように計画しなければいけませんでした。

また、報告ルート上のメンバーやメールを送付する対象者の在席状況を確認し、一斉送信ではなく特定のメンバーに適時送付する等の調整も行うと尚よいでしょう。

スポンサーリンク

中締め・その2

前回の最後で煽っておきながら、IPAを怒らせた事例までたどり着けませんでした。
別に意図的に引き延ばしているのではなく、一度に読みやすい文字数を考慮すると、この辺が一旦切り時かということで。

次回はいよいよIPAを怒らせた事例の紹介と、これらの悪い例から考える正しい訓練の方法についてお話します。

セキュリティカテゴリの最新記事