株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら
閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2017年07月07日 | テクニカルレポート

訓練やっても意味がない!?
~標的型攻撃メール訓練を実施する目的~

今年の6月で、ラックが標的型攻撃メール訓練サービス「ITセキュリティ予防接種」を開始してからちょうど6年が経ちました。

「ITセキュリティ予防接種」は、疑似的な標的型攻撃メール(以下、「疑似攻撃メール」)をラックから訓練対象者に配信し、実際の標的型攻撃メールへの対応力を高める体験型の教育プログラムです。

「ITセキュリティ予防接種」の実施イメージ
ラックの標的型攻撃メール訓練サービス「ITセキュリティ予防接種」の実施イメージ。
社員などの訓練対象者に疑似攻撃メールを配信し、添付ファイルの開封有無などの対応状況を集計。
添付ファイルを開封した場合はその場で教育用のコンテンツを表示し、開封した人に対して注意をうながす。

サービスリリース当初のお客様の反応は「標的型攻撃メールの訓練??なにそれ?」であったものの、標的型攻撃メールによる被害の増加とともに標的型攻撃メール訓練サービス(以下、「メール訓練」)の認知度も高まり、今ではラックのセキュリティサービスの一端を担う存在となりました。お客様と会話するたびに、世の中全体で標的型攻撃メールに対する理解が進んでいることを実感しています。

メール訓練は意味があるか

最近になって「メール訓練は本当に意味があるのか」という声をたびたび聞くようになりました。「最近の標的型攻撃メールは巧妙だから、人の目で見分けるのは無理だ」このような声をよく耳にします。

確かに、普段の業務メールをそのままコピーしたかのような巧妙な標的型攻撃メールの事例は、これまでに複数報じられています。しかし、そのようなメールは見抜けなくても、巧妙でないものを見抜けるだけで、標的型攻撃メールの9割近くを見抜けることにつながることから、メール訓練には大きな意義があると考えます。

警察庁が公表している事例では、観測された標的型攻撃メールの9割近くが、多くのターゲットに対して同じ内容の攻撃メールを使う「ばらまき型」であるとされています。こういったメールは不特定多数を対象としているため、自身には心当たりがない内容が書かれていた場合は、見抜ける可能性があります。

花材2
警察庁「平成28年中におけるサイバー空間をめぐる脅威の情勢等について」より。
(https://www.npa.go.jp/publications/statistics/cybersecurity/data/H28cyber_jousei.pdf, 2017-3-23)
標的に合わせたメールを段階的に送り、関係者を装う「やり取り型」などの巧妙な標的型攻撃メールの事例は実は少ない。

とはいえ、自身に心当たりがない不審なメールを社員全員が100%見抜けるかというとそうではありません。ラックではこれまでに数百社に対してメール訓練を実施してきましたが、注意すれば気づくことができる疑似攻撃メールであっても、メールの添付ファイルを開封してしまう人はどの組織にもいます。

しかし、受信したメールが疑似攻撃メールであると気づかずに、そのまま添付ファイルを開いてしまったら意味がないかというと、必ずしもそうではないと考えます。

例として挙げる「防災訓練」の話

メール訓練の意義の話をするときに、必ず例として挙げるのが「防災訓練」の話です。

防災訓練は「災害を起こさない」ためではなく、「災害が発生したときにどう動くか」を体験・学習するために実施します。実際の災害を想定し、「机の下にもぐる」「避難経路に従って避難する」という対処を防災訓練の中で体験することで、災害時に取るべき行動を学習できます。
メール訓練では、防災訓練と同じように「標的型攻撃メールを受信したときにどう動くか」を社員一人ひとりが体験することも目的のひとつとなります。標的型攻撃メールを開いてしまったとしても、その後に「端末をインターネットから遮断する」「社内の担当部門への報告をする」など、社員一人一人が社内のルールを知っているだけの場合と、訓練で実際に対応したことがある場合では、大きな違いがあります。社員一人一人がルールに従った適切な対応を取ることで、何もしなかった場合と比較して、標的型攻撃メールによる被害を低減できる可能性が大幅に高まります。

訓練を実施することで、社員が可能な限り不審なメールを見抜き、迅速に社内の担当部門に報告を行うなど、適切な対応を取れるようになれば、訓練を実施する意義はあるのではないでしょうか。

訓練の目的意識が重要

訓練を意義あるものにするためには、訓練を企画する側がその訓練を行うことで何を得たいのか、目的意識を持つことが非常に重要です。

サービスを提供する中で、よくお客様からこのような質問をいただきます。

「訓練に使用するメールはどれくらいの難易度にするのがよいのですか?」
「気づかせる」疑似攻撃メールと、「気づかせない」疑似攻撃メールの例
「気づかせる」疑似攻撃メールと、「気づかせない」疑似攻撃メールの例。
疑似攻撃メールの難易度は本文の内容だけではなく、送信元メールアドレスや添付ファイルなどの要素にも依存する。
「気づきのポイント」が少ないほど難易度は高い。

疑似攻撃メールの難易度は「難しければ、難しいほどよい」といった、単純なものではありません。目的に合わせた疑似攻撃メールを使用することが重要だと考えます。

不審なメールを見極める力を養わせたい場合

社員に「不審なメールを見極める力」を養わせたいのであれば、あえて不審な点を含めて作成した「気付かせる」ための疑似攻撃メールを使用します。実際の攻撃に使用された標的型攻撃メールの内容を活用する方法もあります。攻撃事例の入手方法としては、公的機関が公表しているものが参考になります。例えば、一般財団法人日本サイバー犯罪対策センター(JC3)では、警視庁と連携し、不審メールの事例を公開しています。(ラックのサービスでは、実際にラックで観測した標的型攻撃メールの内容を基に疑似攻撃メールのテンプレートを作成しています)

これまでに訓練を実施したことがなく、社員の知識レベルがわからない場合には、実際の攻撃例に近い内容の疑似攻撃メールを使用することで、実際に攻撃を受けた場合にどの程度の社員が添付ファイルを開くかや、社員のリテラシーを把握できます。
 「気付かせる」疑似攻撃メールを使用した場合は、訓練後に社員に対して「気付きのポイント」を周知し答え合わせをすることで、訓練による経験と教育の相乗効果が期待でき、標的型攻撃メールの不審なポイントについて、社員の理解がより深まります。

不審なメールを受信した場合の対応力を養わせたい場合

実際は、見抜けないほど巧妙な標的型攻撃メールを受信したり、あるいは見抜くポイントを理解していてもうっかり開封したり、ということが起こる可能性は十分にあります。そういった、万が一の場合の「対応力」を養うのであれば、あえて「気付かせない」メールを使用する方法もあります。
お客様社内の情報などを活用して作成した疑似攻撃メールは見抜くのがかなり困難です。このような「気付かせない」メールを使用して訓練を実施したお客様では、半数以上の訓練対象者が添付ファイルを開封する例もありました。しかし「気付かせない」メールを使用する場合は、どれくらいの人が開封したかの「開封率」はあまり重視せず、あくまでも、どれくらいの人が、開封後に組織内のルールに従った適切な対応を取ったかの「対応状況」に着目します。
添付ファイル開封時には、訓練である旨と合わせて「組織のルールに従って行動してください」というアナウンスを表示し、開封した方は実際の組織のルールに従った行動(LANケーブルの抜線、担当部門への電話報告など)を体験することになります。また、開封時に訓練である旨を表示せずに、より実際の攻撃に近づけて実施した例もあります。この方法では、疑似攻撃メールの難易度がより高まるだけなく、慣れてきた社員が訓練の際は初動対応を実施しなくなるなど、訓練の継続実施から生じる「訓練慣れ」による影響を軽減し、より実践的に訓練を実施することが可能です。

花材2

このように、疑似攻撃メールの内容ひとつをとっても、その訓練を行うことで何を得たいのか、訓練の目的を意識した上で十分に検討することで、訓練を意味あるものにすることができます。

さいごに

ラックでは標的型攻撃メール訓練サービス「ITセキュリティ予防接種」を開始してから6年間、これまでにのべ数百社のお客様に対してメール訓練を実施してきました。特に大規模な情報漏えい事件が起きたタイミングでは、サービスの需要が大幅に高まりますが、それを差し引いてもお客様の数も年々増加しています。近年では、年度末になると訓練結果のオンサイト報告会のために、日本中を飛び回る状況になるほどです。
次回以降の記事では、サービス開始から多くのお客様のメール訓練で得た、訓練を効果的に実施するコツや、訓練の実施にあたり失敗しやすい注意点などをご紹介していきます。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top