標的型攻撃メール訓練を行うためのポイント | 標的型攻撃メール訓練について

標的型攻撃メール訓練を行うためのポイント | 標的型攻撃メール訓練について

前回のおさらい

前回は標的型攻撃メール訓練(以下訓練)の悪い事例から、訓練の計画として必要な以下の点をお話しました。

・セキュリティインシデントが発生した時の報告ルートを整備する。
・訓練実施は報告ルートのメンバーには事前に周知した上で、報告のルールがきちんと守られているかを検証することも目的とする。
・社内一斉送信ではなく、報告ルートのメンバーの在籍状況等を加味して送付先やタイミングを調整して送付すると尚よい

今回は前々回からひっぱってきていたIPAを怒らせた訓練事例を紹介して、正しい訓練の実施要領をお話したいと思います。

標的型攻撃メール訓練の悪い例:レベル3

外部に迷惑を掛ける、最悪損害賠償請求も

レベル1、レベル2の事例くらいでIPAは怒りません。どちらも企業内部で勝手にバタバタしているだけで、外部に迷惑をかけているわけではありません。

最後のレベル3がIPAを怒らせました。

訓練メールの文面を考えていた情シスのCくんは、「あんまり稚拙なメールじゃあさすがに誰も引っかかってくれないよな」と思い、JALのビジネスメール詐欺さながらに、いかにもありそうな文面や添付ファイルを作って訓練メールを送付しました。

訓練は滞りなく終了しかけた頃に外線に電話がかかってきました。

「御社の社員の方から、身に覚えのないメールを受信したという連絡を多数いただいているのですが、何か心当たりはありませんか?」

Cくんは訓練メールの文面をよりリアルなものにするために、実在の企業名や、その企業から送付されてきたメールの署名情報などをそのままコピーして、いかにもその企業からメールが送付されたような訓練メールを作っていました。
受け取った人は巧妙に作成されたメールにまんまと騙されてしまい、セキュリティインシデント報告は上がってきません。

しかし「この会社は知っているけど、送られてきた文面は記憶に無いな。何の間違いだろうか。」と思って直接その会社に連絡を取ったり、「お宅の会社から変なメールが送りつけられてきたんですが、どこからメールアドレス入手したんですか?」と抗議の電話を入れた人がいたりで、結果的に相手企業に迷惑をかけてしまうことになりました。

さらには「株式会社○○(相手企業の名前)は不正な手段でメールアドレスを取得している危ない会社」みたいな内容をSNSに投稿、拡散させる人まででてきて、相手企業から風評被害に対する損害賠償を求められるまでに至ってしまいました。

実際には損害賠償までは至っていないものの、何を隠そうこの事例の「相手企業」になってしまったのがIPAなのです。日本のIT国家戦略を担う団体が標的型攻撃メールの送付元にされたとなれば大問題になります。
実際にはIPAが送ったわけでは無いのですが、そう勘違いされるだけでも日本の情報処理の総元締めの沽券に関わる由々しき事態です。

訓練なんだから、本当に騙してどうする

この事例の問題は2つあります。

1つ目は訓練の目的が「標的型攻撃メールに対するセキュリティを強化する」ことから「いかに訓練とバレないメールを作成するか」に変わっているところです。
セキュリティを強化しようとしている人が、他人になりすました攻撃者紛いのことをやっているようでは、セキュリティに対する意識が低いと言わざるをえません。

「これは訓練です」とまで明確に記載されていなくても良いですが、訓練メールに記載する企業名・個人名は架空のものを使用するようにしましょう。
送信者の詐欺メールのスキルを向上させるための訓練ではありません。
受信者が標的型攻撃メールを判別できるかだけではなく、判別できた時や逆に判別できずにウイルスに感染した時にどのような対応をするのか(きちんとルールに基づき報告してくるのか)を確認するための訓練です。
後者の目的のためには、むしろそれが標的型攻撃メールとわかりやすいもののほうが適している場合もあります。

2つ目の問題は、実施結果に対するフィードバック(このメールが訓練であったかどうか)が無いので、受信者の次の行動が思いもよらない方向に行ってしまったところです。
受信してメールを開いてしまった人にも、開かず報告してくれた人にも、きちんと「これは訓練メールでした」と伝えていればこのような事態は起こりません。
メールを開いたかどうかは訓練サービスが提供している機能を使えばわかります。

本来フィードバックはそういう目的ではなく、「こういうことが起こった時に、あなたはこういう行動をとりました。次からはこういう風にするようにしましょう」という訓練結果からの次への提言です。
開封率や報告率がわかっただけではリテラシーの向上はわずかしか期待できません。
せっかく訓練をやったのですから、その成果を本人に実感してもらってはじめてリテラシーは向上していくものと考えます。

標的型攻撃メール訓練を行うためのポイントまとめ

重要なポイントは5つ

前回から3つの事例を紹介してきた内容を以下5点にまとめました。

1.怪しいメールが来た時の対応手順の整備と事前周知
2.セキュリティインシデント報告ルートへの訓練実施の事前通知
3.訓練対象者の選定とタイミングの調整
4.訓練メールのレベル感(あくまで「訓練」)
5.訓練結果のフィードバック

1回やって満足したら意味が無い

訓練をやったので社内のセキュリティレベルは向上した!というものではありません。
2回目、3回目を行い、前回との結果の比較による浸透度確認をしていきましょう。

報告ルートのリハーサルとしての訓練だけであれば、無理にサービスを利用しなくてもシナリオを考えて自力で実施することも不可能ではありません。
避難訓練もそうですが、定期的に実施することでルールを思い出してもらい風化させないことも、訓練の重要な意義です。

あとがき

普通の手口を防げれば、被害の9割は防げる

標的型攻撃メール訓練について3回にわたってお話してきましたが、「これじゃ巧妙に細工された攻撃メールから企業を守れない!」と思われる方もいるかもしれません。

しかし実際に送付されてくる攻撃メールの大多数は、そこまで巧妙じゃない、パッと見れば怪しいとわかるようなメールです。「○○○○のサングラスが●●%OFF!」=「URLを押してはいけない」くらいにわかりやすいです。

それでも被害にあう人が実際にいます。
被害が発生してしまえばメールの巧妙さは関係ありません。

いつ降ってくるかわからない隕石の対策に注力する前に、まず目前で起こってる雨漏りを直しましょう。

「送られてからの対策」より「送られないための対策」が重要

そして何より「巧妙に細工された攻撃メール」は、送られてきてしまえばそれを判別することは非常に困難です。
これを見極めるだけのスキルを全社員が身に着けることはほぼ不可能です。
他人事では無く、情シスやSEだって騙されるかもしれません。

そうなると、「送られてからの対策」ではなく「送られないための対策」を強化していくことで、そうしたメールに遭遇する機会自体を減らしていくことに注力していくべきと考えます。

「どうやって?」という話は、また別の機会にお話ししていきたいと思います。

参考にしたサイト

組織における標的型攻撃メール訓練は実施目的を明確に | IPA

セキュリティカテゴリの最新記事