インターネット分離後の標的型メール攻撃訓練のあり方を考える

日本年金機構の個人情報漏洩事故以来、企業や組織において、ウイルスに模したファイルを添付したメールを送信したり、マルウェアダウンロードサイトに模したページへ誘導する本文のメールを送信したりする、標的型メール攻撃訓練が盛んに行われるようになりました。

しかし、今年度あたりからは、行政機関をはじめ企業でも、インターネット環境を事務処理PCから切り離す対策が進められ、あわせてインターネット環境は仮想化することで、たとえ添付されたウイルスファイルをクリックしようが、マルウェアダウンロードサイトにアクセスしようが、実害を被るリスクは低下し、大金を投じて従来の標的型メール攻撃訓練を行う必要性がなくなった企業や組織も多いのではないでしょうか。

具体的な攻撃手法に対する訓練ではなくリスクコントロールの訓練を

これまでの標的型メール攻撃訓練は、直近の標的型メール例を参考に「このようなメールは標的型メール攻撃だ」ということを教育することが主な目的だったはずですが、重要な情報から分離され仮想化されたインターネット環境下においては、ウイルスやマルウェアの脅威は低下し、仮に今までと同じ訓練メールをユーザーに送っても、今さら何が目的なのか理解してもらうことも説明することも難しいはずです。

しいて言うなら、標的型メール攻撃を受けてもインターネット環境から分離された事務処理PCに何も被害が無いことの確認しか出来ず、そんなことの為に何百万円も使うくらいなら、インターネット分離された仮想PCから事務処理PCへ侵入される脆弱性がないことの確認を、ペネトレーションテストの専門業者に依頼するほうが理にかなっています。

インターネット分離されても重要な情報を送信するリスクは残る

そこで考えられるのは、ウイルス添付メールやマルウェアダウンロードサイトへの誘導メールではなく、一般に言われるフィッシング詐欺対策、つまりユーザーが誤って重要なアカウント情報などを悪意ある第三者に送信してしまうことを防ぐ為の訓練です。

フィッシング詐欺とは

近年は送信者を詐称し、うっかり信じこませてしまうような電子メールを送りつけ、偽のホームページにアクセスさせる等の方法で、ユーザーID、パスワードなど重要な個人情報を盗み出し悪用する攻撃が多くなっており、この攻撃をフィッシング詐欺と言います。

もっともらしい文面や緊急を装う文面のメールであるのはもちろん、アクセス先の偽のWebサイトを本物のWebサイトと区別がつかないように偽造するなど、どんどん手口が巧妙になってきており、ひと目ではフィッシング詐欺であるとは判別できないケースが増えています。

いくらインターネット環境を分離し仮想化しようとも、今後もフィッシング詐欺の脅威を解消することは難しく、重要な情報を誤って送信させない為には、ユーザーのリテラシー向上以外に対策のやりようがありません。

標的型メール攻撃訓練を流用したフィッシング詐欺対応訓練

そこで私が考えたのが、フィッシング詐欺対応訓練です。ただしこの訓練の目的は、最近目にするマイクロソフトやアップルのアカウント管理画面を完全模倣したような、具体的なフィッシング詐欺の手口をユーザーに教育するのではなく、業務でいつもパスワード変更をしている社内イントラページ以外だったり、PCでブックマークしているページ以外だったり、あるいは今まで案内された覚えがない、見たことがないページで、重要な情報の入力を求められたら、まずは「これ詐欺ちゃうか!?」と疑える感覚を、業務上はもちろん私生活においても身に付けてもらうことを目的とします。

特定の手口を教えても今後に活かせるとは限りませんので、どんなサイバー攻撃にも応用出来る「なにか怪しい」と感じる感覚を身に付け、リテラシーの向上を目指します。

マイクロソフトやアップルのアカウント管理画面を完全模倣して訓練に用いることは著作権の問題も生じる恐れがあります。

日常生活と同様のリスクコントロールを身に付けてもらう訓練

家にいて玄関チャイムが鳴らされたとき、相手が誰かも分からないのにいきなり玄関ドアを開けて応対する人は少ないでしょう。家の中に居ても玄関には鍵をかけておく、訪問者や訪問理由に身に覚えがあるかしっかりと用件を聞く、ドアスコープで訪問者を確認してから玄関を開ける、これは家に不審者を侵入させてはいけない、しかし訪問者を一切相手にしないわけにもいかない、という状況下で行うリスクコントロールの一つです。

情報セキュリティの場面においても、受信したメールとメールに添付されたファイルや誘導先Webサイトをいきなり開かず、送信者やメール内容を十分に確認してから開くという習慣を身に付けることが、情報を守りながら必要な情報を得るためのリスクコントロールの一つとなります。

訓練用素材

今回のフィッシング詐欺対応訓練は、何か怪しい、という感覚を身に付けることが目的なので、本物のフィッシング詐欺に用いられる、怪しいと感じない、素材は必要ではなく、あからさまに怪しさが漂う素材を用意することがミソです。

訓練用詐欺メール

業務でいつもパスワード変更をしている社内イントラページ以外だったり、PCでブックマークしているページ以外だったり、あるいは今まで案内された覚えがない、見たことがないページで、重要な情報の入力を求められることの違和感を体験してもらうメール内容を考えます。

  • 送信者名:あなたの企業や組織の情報管理部門に似た名称
  • 送信者メールアドレス:委託業者のメールアドレス(フリーメールアドレスに偽装する必要はありません。いつもと違うアドレスで違和感を覚えてもらえばよい)
  • 送信件名:○○○について(訓練対象者全員に関わる内容とし、重要なアカウント情報を送信しないためのシナリオに基づく件名にする)
  • 送信本文:あまりにごちゃごちゃと書く必要はなく、なぜ重要なアカウント情報を入力する必要があるのか、のリード文、入力先WebサイトURL(これも委託先業者のドメインで可。妙に偽装する必要はない)、最後に、先の送信者名(所在や連絡先の署名は不要、怪しさを滲ませたほうがよい)

訓練用詐欺サイト

  • サイトタイトル:シナリオに基づくタイトル
  • 入力フォーム:シナリオに基づく項目を数個(アカウントID、メールアドレス、パスワード等)
  • 送信ボタン:(未入力項目があるとエラーを出す仕組みを用いるが、実際には情報は送信されないものとする)
  • サイトデザイン:何かを模倣する必要はなく、背景白、必要な項目だけ、のシンプルなデザインにする。

送信完了ページ(教育コンテンツ)

送信ボタンをクリックしたユーザーに表示する教育コンテンツ

  • あなたの部署名
  • 訓練であることの明示
  • 情報は一切送信されていないことの明示
  • フィッシング詐欺についての教育コンテンツ

閲覧ログ、送信ログの取得

訓練用詐欺サイトの閲覧ログ、送信完了ページの閲覧ログを取得することで、訓練用詐欺サイトを見たけど、怪しいと感じて情報を送信しなかったユーザー数、最後まで怪しいと感じることなく重要情報を送信して、送信完了ページ(教育コンテンツ)を閲覧したユーザー数をカウントする。

それぞれのアクセスログを取得するために、訓練対象者の数だけ、個別の訓練用詐欺サイトが必要なり、送信する訓練用詐欺メールに書かれる、入力先WebサイトURLも対象者別のURLを記載する必要があります。(従来のマルウェアダウンロードサイトへ誘導する標的型メール攻撃訓練で使われているのと同じ方法です。)

事前の啓発メール

訓練前には、フィッシング詐欺に対する注意点などを書いた啓発メールをユーザー全員に送信しておきます。予定している訓練素材に対応した内容を書いておくとよいでしょう。

事後の訓練実施アナウンスメール

訓練後に、訓練の目的や概要などを周知するアナウンスメールをユーザー全員に送信します。事後アナウンスメール送信のタイミングで、訓練用詐欺サイトの閲覧ログ、送信完了ページの閲覧ログの取得を終了します。

訓練を委託する業者について

今回私が考えた訓練内容をパッケージで持っている業者は少ないと思います。実際に私も探しましたが、従来の標的型メール攻撃訓練のパッケージしか見当たらず、私が直接数社に話をして、私が考えた訓練をカスタマイズで請け負ってくれる業者に委託しました。

訓練用詐欺サイトや教育コンテンツを表示する仕組み、ログの取得は、これまでの標的型メール攻撃訓練の応用なので、こちらの要望をしっかりと伝えれば、業者にとって難しい作業ではないので、請け負ってくれる業者は見つかると思います。

気になる訓練費用はいくらほどか

従来の標的型メール攻撃訓練は、セキュリティ対策業者にとっては、簡単な作業で訓練が実施できるわりに、需要もあって、業者の言い値でいいからやって欲しいという客だけを相手にするドル箱です。

セキュリティベンダーが行う標的型攻撃メール訓練サービスは平成27年から一気に高騰しました。実際に訓練を実施しようとすれば費用はどれくらいになるのか、参考にお読みください。

いつも受身でセキュリティ対策を業者任せにしていると、足元を見られて、私が今回ご紹介した訓練でも1000ユーザーで数百万円といった驚愕の見積りを提示されるはずです。

が、今回の、標的型メール攻撃訓練を流用したフィッシング詐欺対応訓練は、メール案、詐欺サイト案、送信してしまったユーザーへの教育コンテンツ、事前の啓発メール、事後の訓練実施アナウンスメール、全て私が素材を用意したこともあり、訓練対象者数2000ユーザーに絞って100万円以下で外部業者に受託してもらいました。

業者がやることは、メールを送信すること、簡単なWebページを作ること、ログを取得し、報告書を作ることだけ、なので、しかも、○○が、インターネット分離した環境で実施した新しい訓練モデル、として、今後他の企業や組織に売り込めるので、本当なら0円で請け負っても損はしないはずです。

参考にはならないかもしれませんが、情報セキュリティ関連の費用は、業者の言い値は驚くほど高額で、こちらの課題、目的、求める効果などを明確に示すことで、あっさりと価格は引き下げられる(引き受けてくれる業者が見つかる)と思います。

一貫した訓練目的を共有する

今回私が実施したのは、標的型メール攻撃訓練を流用したフィッシング詐欺対応訓練ですが、実際のフィッシング詐欺の手口に対応するための訓練ではありません。

繰り返しますが、私が自社内のユーザーに求めるのは、「これ詐欺ちゃうか!?」と疑える感覚を、業務上はもちろん私生活においても身に付けてもらうことです。

この目的を一貫してプレゼンすることで、上司もgoサインを出しやすくなりますし、訓練素材を検討する際も、無駄に検討する必要がなくなり、なにより訓練対象者に、なぜこんな訓練が必要なのかを、理解してもらいやすくなります。

今回私が実施した訓練は、実際にはどれほど効果があるのか、今すぐには分かりません。新たなシステムを導入することは、すぐに効果が見えることでもありますが、なにより重要な人的対策は、すぐに効果が出るものではなく、私たち情報セキュリティ担当が粘り強く少しずつ積み上げていくものです。この記事が情報セキュリティ担当の方々の参考になれば幸いです。