株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

標的型攻撃 対策指南書

2.9. 標的型攻撃を見越した人の教育

標的型攻撃 対策指南書をダウンロードして読む方は PDF版

標的型攻撃の対策を考えるとき、標的にされる社員など組織を構成する「人」に対する教育は、大変重要です。セキュリティへの危機感を感じセキュリティ対策を進めることも、標的型メールからいつもと異なる「雰囲気」を感じ取るのも、すべて「人」が行うことです。社員や職員といった組織の全員が、セキュリティへの関心と知識を持つことが、ここまで説明してきた対策に必要となります。
ここでは、標的型攻撃対策における人の教育をいかにして進めるかを整理します。

社員はウイルスメールを見分けることはできるのか?

標的型攻撃においては、電子メールにウイルス感染の仕掛けを行うケースが多々見受けられます。その多くは、通常の業務や関連組織からの連絡などに見せかけた「なりすましメール」にウイルスを添付したり、ウイルス感染を引き起こすURLリンクを記載したりして送り付けてきます。社員がなりすましメールに直面した時、ウイルス感染を引き起こすメールであることを見抜き、感染を未然に防止したいと考える方もいらっしゃるでしょう。しかし、どんなに教育や訓練を行ったとしても、確実に見抜く、ということは不可能です。巧みに細工されたなりすましメールには、何段階かの難易度があります。業務に関連するように見せかけられた標的型メールの難易度は、以下のように考えます。

高難易度 ウイルスを使って実際の業務メールを盗み出し、流用している本文や件名は過去に送受信された業務メールであり、見分けることは困難。
添付書類もゼロデイが使用されるなど見極めは不可能。
中難易度 業務に関連しているように見せかけたメールを攻撃者が作ったもの
IPAなどのWebサイトにある記述をそのままコピーして利用したもの。
自分に関わりの無い内容が書かれていた場合は、見分けられる可能性がある。
セミナーの案内等見分けが難しいものもあるが、添付書類は安易な実行ファイルレベル。
低難易度 他国語が混じっていたり、日本語の「てにをは」がおかしいなどの特徴を持つもの
標的型攻撃に使われるなりすましメールの特徴をいくつか知っていれば、見分けられる可能性がある。
標的型メールではないもの
  広告メールやフィッシングメールなど、不特定多数の人に送られたもの。 基本的なセキュリティリスクをいくつか知っていれば、見分けられる可能性がある。

真の意味で攻撃対象を「標的」とする高難易度のものを見分けることは、残念ながら不可能です。中難易度や低難易度の場合には、「自分に見覚えが無いメールである」、「論理的に自分に送られてくることがおかしい」、「メールの書き方が社内文化と違う」といった点に気づくこともあります。しかし、どんな組織であっても、ウイルスの開封率をゼロにすることは困難であり、ヒューマンエラーが発生する一定の割合を下回ることはできないと考えます。違和感に気づくための知識を持っていても、急いでいたり、疲労がたまっていたり、一定の期間が経ってウイルスのリスクが薄れたりすることで、うっかりウイルス感染の仕組みに引っかかってしまうからです。定期的な教育は、このような観点から実施されます。

一方で、低難易度のなりすましメールや標的型ではないウイルスメールについて、多くの社員が高確率で感染してしまう場合、社員への教育による知識と意識の底上げが必要です。
「ウイルス対策ソフトが正しく動作していれば全てのウイルスは駆除できる」などの現実と乖離した認識が広まっていると、自分に届いたメールに注意を払うという行動には結びつきません。また、自社の社員がどのレベルのメールを見分けることができるのか、情報システムリテラシーはどの程度であるのかを知るために、疑似ウイルスメールを送付し、開封率を測るのも一つの策として挙げられます。どのレベルのメールを見分けることができるのか、どのくらいの割合で感染してしまうのかを知ることで、その後の教育方針などを明確にすることができます。

ウイルス感染発生時には、社員が気づいたときの報告や連絡、相談などを適切に行うことは重要です。社員への定期教育により正しい知識と行動方法を伝え、疑似ウイルスメールの送付によって、上長や適切な部署への報告、連絡を実施できるかどうかを定期的に確認することができます。

社員への教育や疑似ウイルスの送付に関して注意すべきことがあります。これらの策を実施した際に、「今後感染したら罰則だ」と伝えてしまったり、疑似ウイルスを開封したことを強く非難してしまったりすると、かえってセキュリティ対策上マイナスに働きます。その場合、不審なメールの定義を組織のレベルに応じて具体的に取り決め、そのレベルに応じて継続的に教育訓練を行い、罰則があることを事前に伝えそのうえで、守れない場合は何らかの手段を講じるのが良いでしょう。かねてより発生している日本国内のウイルス感染事例を見ると、一部の組織においては、組織内からの通報、連絡をトリガーに事故対応を始めているケースがあります。高難易度のなりすましメールを使われた際には、社員が気づくことは非常に困難ですが、中難易度以下のなりすましメールやそれらレベルのメールに添付されたウイルスの場合には、社員による報告が可能なこともあるでしょう。もし、ウイルス感染したことを非難していたり、ウイルス感染したこと全てを始末書扱いにしていたりするような場合、社員がウイルス感染の事実に気づいたとしても、隠ぺいしてしまう可能性があります。組織としては、「ウイルス感染」ではなく「ウイルス感染による被害」を防ぐ必要があり、初動対応は被害を最小限に食い止めるための重要なポイントとなります。

コスト面から出口対策などのネットワークの監視による検知策を行っていない場合、社員からの通報は検知のための重要な要素となります。組織としては、如何にして社員が気づいたこと、発見したこと、違和感があったことを報告してもらうかを考えなければいけません。疑似ウイルスの送付という策を、組織を管理する側として開封率の把握を目的に実施するのは良い方法ですが、感染した社員を強く非難するような事後対応が行われることは避けなければなりません。また、ウイルス感染を0%にするための策として実施するなどは、言語道断です。不可能な目標を目指していることに加え、仮に0%を達成できたとしても、本物のウイルスに直面し、社員が感染してしまった場合、感染の疑いがあることに気づいていても社員が隠ぺいしてしまうことが想定されます。これらの誤った策は、「ウイルス感染」という組織上のリスクのほんの一部分だけにフォーカスしてしまっていることが原因の一つと考えられます。組織全体のリスクとして捉えるべきであり、セキュリティガバナンスに基づくリスク管理の中でウイルス感染と感染に関連する事故対応のフローや体制を整えなければなりません。

ウイルス感染というと、普段めったに起きない事故が起きたという印象を持つかもしれませんが、組織のリスクを管理する立場としては、実際にはより身近なところで、頻繁に起きていると考える必要があります。事実、昨今のウイルス感染による被害の報道を見ると、感染したのは半年前であったり、3か月前であったりという事実が後になって判明したケースが多く見られます。単に見えていなかっただけの可能性があるのです。事故が起きない=良いセキュリティ、良い策、ではなく、事故が起きても被害が出ない、そして被害を最小限に食い止めることができるのが良いセキュリティ対策であるといえます。逆にセキュリティ対策が向上するとウイルス感染の事実がより発見されることになり、感染件数は増大すると考えて推進するくらいが丁度良いでしょう。

ウイルス感染率と被害発生の関連性は?

電子メールの添付ファイルを開封したことを起因としたインシデントを想定した場合、開封率を下げることができれば被害を食い止められるのかという疑問については、攻撃が行われる目的や意図によって変化するといえます。

まず、単純な被害をもたらす従来のウイルス(後述の標的型と対比してあえてこう表現します。)の場合です。ウイルスは社内ネットワークを通して他のパソコンに感染を広げ、ウイルスの機能によって様々な被害をもたらします。例えば、ウイルス感染したパソコンを拠点に、さらにウイルスメールを送信するなどです。対処としては、感染したパソコンの特定とウイルス駆除、そしてウイルスの種類によってもたらされる被害に合わせて社内対応や対外対応を行います。対外対応の例としては、ウイルス付きのメールが関連企業やお客様に送付された時は、ウイルスメールへの注意を促す連絡を行ったり、情報が漏えいした時は関連する人々や組織への謝罪、二次被害の注意喚起などを行ったりします。その他、感染したパソコンに対しては、OSを再インストールする対応を行ったり、データが消失した場合には、データ復旧の対応を行ったりする必要があります。これらの単純な被害をもたらす従来のウイルスにおいては、ウイルスの種類にもよりますが、感染するパソコンの数がより少ない方が被害は小さくなり、感染率の低下が比較的顕著に効果として現れる可能性があります。もちろん、社内の1台のパソコンを起点に、社内ネットワークを通してウイルス拡散がなされる場合には、1つの侵入口を起点に多数の感染をもたらすため、見方によっては1台でも感染すれば大きな被害がでるという見方もできます。ただし、ウイルスが社内ネットワークにおいて感染を広げる原因としては、パソコンのぜい弱性を利用されるケースが多く、パソコンのOSのアップデートや、インストールしているソフトウェアのアップデートを行っていない場合に発生します。セキュリティ対策として、パソコンのOSやソフトウェアのアップデートは基本であり、ウイルス感染を食い止める対策の一つとして実施すべきことです。仮に1台が感染したとしても、アップデートが適切に行われ、さらにウイルス対策ソフトを適切に利用していれば、社内での感染拡大は最小限に食い止められると考えられます。

次に、標的型攻撃の場合です。巧みに作り出されたなりすましメールを送り付けられ、ウイルス感染が発生してしまった場合、その1台のパソコンを起点に、攻撃者の人手による遠隔操作により、社内ネットワークの分析や社内パソコン、サーバへのさらなる攻撃などが行われます。このとき、最初のウイルス感染するパソコンは、多くの台数である必要はなく、たとえ1台でも感染すればパソコンを遠隔操作することができ、攻撃者は内部での活動が可能となります。標的型攻撃においては、ウイルスの添付ファイルを開封する人数が少なかったとしても、極論を言えば1人でも感染してしまうと被害が発生する可能性があります。従来の単純な被害をもたらすウイルスとの大きな違いはこの点にあります。従来のウイルス被害は、より多くのパソコンに感染させることが攻撃者にとっての攻撃の成功ですが、標的型攻撃においては、1台のパソコンでも良いのでウイルス感染を発生させることができれば、あとは見つからないように延々と攻撃活動を続けられることが、攻撃者にとっての成功と言えます。もちろん、社内ネットワークの構造が複雑な場合、複数のパソコンを遠隔操作できた方が、攻撃者はより攻撃の幅が広がる場合もあります。例えば、特定の部署の1台のパソコンにウイルスを感染させることに成功したとしても、組織が行っていたネットワークのアクセス制限により、遠隔操作で分析できる範囲のネットワーク内には目的となる機密情報が無いなどの結果に終わった場合は、また別のパソコン上でウイルス感染を引き起こす必要があります。ただし、その場合においても、1台のパソコンを遠隔操作することができれば、パソコン上に保存されている過去の電子メールを入手し、それらしいファイル名を付けたウイルスを添付して、遠隔操作しているパソコン上からより高難易度のなりすましメールを社員に向けて送信することができてしまうのです。

標的型攻撃に備えた教育手法

これらのことから、私たちは多くのことを学ぶことができます。標的型攻撃は、手法としてウイルスは使われるものの、従来の単純な被害をもたらすウイルスとは、リスクの種類や傾向が大きく異なることを知る必要があります。その上で、組織としてどのような対策をすべきかを考え、管理する必要があります。従来のウイルスに対しては、パソコンのアップデートやウイルス対策ソフトの利用、exeファイルに注意するなどの注意喚起が中心でした。社内システムを管理する部門としては、感染が発生した時はパソコンを隔離し、感染パソコンへの対処を行えばよかったのです。これらの対策は、情報システム部門や総務部門主導での社内対策でも十分通用しました。しかし、標的型攻撃に対しては、経営層が中心となって、組織におけるリスクの一つとして捉え、そのリスクへの対策として社内のセキュリティ対策を遂行しなければなりません。さらに、それら経営リスクへの対策が、今現在、組織内で適切に行われているかどうか、時間の経過とともに浮き彫りとなった新たなリスクに対応しているかどうか、システム対策の対応状況はどうか、などを見直す必要があります。これらの考え方はすなわち、情報セキュリティガバナンスに基づいて、セキュリティ対策のサイクルを適切に回すことに他ならないのです。

その観点から、社内におけるセキュリティ対策を進めます。例えば、疑似ウイルスメールを社員に送付することで、社員はどの程度の知識、スキルを持っているのかの計測や、ウイルスに気づいたときに適切に行動できるのかどうかを知ることができます。疑似ウイルスメールを送付するなどした訓練により感染率0%を目指したり、開封した人をむやみに非難したりする等の誤った目的で行ってはいけません。

自組織の社員の傾向に基づいて、社員教育を行います。社員教育においては、中難易度や低難易度、標的型ではない不特定多数の人に送りつけられるウイルスについては、メールや添付ファイルに特徴があることを伝え、見分けるためのコツを伝えます。さらに、高難易度のウイルスメールがあることを知り、それらを見分けることは困難であるが、もしも感染に気付くことができた場合には、速やかに報告することが最も適切な対応であることを伝えます。

これらの対策を妨げる社内ポリシーがあった場合、改定するなどの検討を行います。例えば、ウイルス対策ソフトがアラートを上げただけで始末書を提出しなければならない、事後対処が適切で被害は出なかったにもかかわらず、ウイルス感染を引き起こしただけで厳しい社内指導などが行われる、などのルールがある時には見直しを検討します。

その他、ウイルスに感染した時の事後対処を行う、情報システム部門などの担当者の体制や担当者における意識などを見直すことも必要です。ウイルス感染が発生した際に対処を行う部署において、従来の単純なウイルス被害をもたらすリスクをベースに、社内の仕組みやルール、体制を構築している場合、標的型攻撃に対しては適切に事後対処を行えない可能性があります。標的型攻撃への対応を行う場合、従来のリスクの観点から整えた情報システム部門だけでは人員が不足する可能性もあります。また、より高いリスク管理能力や、組織全体のリスクを考慮した事故対応が求められるでしょう。情報システム部門の体制の見直しに加え、情報セキュリティのリスクに対応するための体制を整えることも検討しなければなりません。例えば、経営層も参加する情報セキュリティ委員会や、情報セキュリティ事故が起きた時の司令塔となるCSIRT(Computer Security Incident Response Team、シーサート)体制の整備などです。CSIRTの役割に合わせて、情報セキュリティに関連する情報収集や、他のCSIRTとの情報交換、パソコンの分析業務も行う場合には、分析技術を持つ専門の部隊をCSIRT内に参加させ、デジタル・フォレンジック技術やウイルスに関連する知識をつけさせることが必要となります。標的型攻撃において、経営層、情報システム部門、CSIRT、社員、それぞれがどのような役割、位置づけ、立ち位置となるのかを考え、目的に合わせてセキュリティ教育を実施しなければなりません。

リスクの捉え方とコストバランス

標的型攻撃への対策を考える時、単純な「ウイルス対策」として捉えてしまうと、対策手段に行き詰ってしまったり、コストとの折り合いがつかなくなってしまったりすることがあります。例えば、標的型攻撃やウイルス感染への対策として「出口対策」というものが挙げられますが、出口の監視となると侵入防御システムや次世代ファイアウォールなどの導入が必要となります。規模の大きな組織では、十分な対策も検討できますが、中小企業で初期費用やランニングコストが大きくかかる対策を実施することは大変な負担となるでしょう。その際、これ以上の対策は実施できないという結論に至ってしまうことは大変危険です。
コストの面から実施が困難である、あるいは、実施できそうな対策が見当たらないという時は、一度視点を変えてみることをお勧めします。「ウイルス」というキーワードから離れ、組織全体を「セキュリティリスク」という広い視点で見直します。標的型攻撃においては、攻撃者は組織が持つ情報を狙い、それらを盗み出していると考えられます。防御側としても、セキュリティ対策におけるアプローチを変え、「ウイルス感染しても情報が漏れない」というシチュエーションを作り出したり、サーバのログなどからそれを証明したりすることができれば、何らかの理由で事故を公表しなければならない時も企業リスクを最小限に食い止めることができます。自組織において、情報セキュリティ上守るべき情報は何かを今一度見直してみましょう。また、日常の業務において、守るべき情報はどのような形で保管され、どのような場所で利用されているかを再確認しましょう。重要な情報ほど、日常の業務では頻繁に利用していることもあります。アクセス制御のかかったサーバや、施錠棚に保管しているつもりが、そのコピーが社員のパソコン上に残っていたり、持ち出し用のUSBメモリの中に残っていたりするかもしれません。ウイルス感染した場合、どのような被害が発生するのかを考えてみましょう。どのような経路で守るべき情報に行きつくのか、どこに情報が残っていると被害が大きくなるのかなどを攻撃者の視点から、シナリオベースで考えてみることをお勧めします。

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top