メニュー
おすすめコラム

2018年4月19日
常識を疑え!ハッカー視点のセキュリティ
筆者)株式会社トライコーダ 上野宣

第2回 標的型メール訓練の開封率が気になる?開封や初期感染はそこまで重要ではない

「標的型メール訓練」というのを聞いたことがあるでしょうか。攻撃者が送ってくる不審なメールを模したものを送り、そのメールのURLをクリックすると、社員の誰が開いたかわかるというセキュリティの訓練です。読者の中には経験した方もいるかもしれません。

何を訓練するサービスなのか

ところで、この訓練は何がしたいのでしょうか。訓練と言うからには何かを鍛えたいのだと思います。いくつかのサービス提供企業のWebサイトの紹介文を見てみると、だいたい下記のようなことが書いてありました。
・標的型メールによるマルウェア感染リスクの低減
・社員の標的型メールへの対応の現状を確認
・社員のセキュリティ意識向上

そもそも「標的型メール」とは何でしょうか。これは企業や組織などの機密情報などを狙った「標的型攻撃」の一連の流れの中で行われる1つの攻撃手法です。
標的型攻撃では組織内のネットワークに侵入する必要があるため、Web経由かメール経由、またはUSBメモリ経由などで組織内ネットワークの端末にRAT(Remote Administration Tool)と呼ばれる遠隔操作を行うマルウェアを仕込む必要があります。
その際にメールを使って行うのが「標的型メール」です。被害者を誘うメールの文面とともに、マルウェアに誘導するURLが記載されていたり、添付ファイルがついていたりします。
「標的型メール訓練」は標的型攻撃の初期段階に当たるメールによる感染に対応するための訓練で、開封率が下がれば、初期感染のリスクを減らせるという考えです。

標的型メールは100%誰かが開封する

間違えてはいけないのは「標的型攻撃」自体をこれで防ぐことができるようになるわけではないところです。あくまで初期段階の感染リスクを低減するのみです。よく読むとサービスの紹介文にも書いてありますね。

筆者の会社(株式会社トライコーダ)ではペネトレーションテスト※1(海外だとレッドチームテストなどと呼ぶこともあります)という、お客さまとの契約に基づいて外部からハッカーが侵入するサービスを提供しています。その初期段階として、標的型メールの配信を行っています。あくまで目標は侵入後にあって、標的型メールの段階はゴールではありません。
そして、標的型メールは時間をかけて行えば100%成功します。なぜかと言えば、成功するまで行えばいいからです。
内部の端末に1つでも感染できれば、そこをきっかけとして内部侵入の拡大を行うことができます。たった1台でもいいのです。なので、開封率などは関係がありません。

そうすると訓練の意味はないのでしょうか。そうではありません。標的型メールには巧妙な文面のメールもありますが、稚拙なものも多いのが実際です。
一般財団法人日本サイバー犯罪対策センター(JC3)が不審なメールの例を公開(https://www.jc3.or.jp/topics/virusmail.html)しているので見てみましょう。
よく使っていそうなサービスの通知メールを模したものや、仕事の内容に関係がありそうなものなどが並んでいます。
こういった類の安易な不審メールに引っかかるような社員はいなくなって欲しいものです。標的型メール訓練によって、社員全員がこういう稚拙なものを見抜くことができる力が向上するのには期待したいところです。これにより、稚拙な不審メールに引っかかって、CSIRTの仕事が増えたり、程度の低い攻撃で会社や事業が危険にさらされることは避けることができるかもしれません。

しかし、本当に巧妙なものを全員が見抜くことは無理でしょう。たとえば、サポートセンターへの問い合わせや人事部への就職希望などを装って、何度かメールをやりとりした後に何かのファイルとして送りつけるなどすれば、多くの人が感染してしまうに違いありません。
「アンチウイルスソフトがあるから大丈夫」?それは第1回で説明しましたね。

不審なメールの察知能力と対応能力を高める訓練である

昔から「怪しいメールは開かない」と言われていましたが、「何をもってして怪しいのか」を知ってもらうことが重要だと考えます。そのためには「怪しいメール」についての知識を社員に学んでもらう必要があります。そして、下記の能力を向上するために訓練を行います。
・不審メールに気が付いた際の対応の確認
・不審メールのURLをクリックしたり、添付ファイルを開いてしまった場合の対応の確認
・不審メールだと気が付く感覚の向上

訓練を何度もやるのは意味がないという主張もあるようですが、目的が稚拙な不審メールに引っかからないということであれば意味があるでしょう。社員は常にこういった訓練があるかもしれないと警戒をするので、メールを開くことに対して多少は注意深くなる可能性があります。
実際に訓練を何度かやってみると、訓練であることが社員にバレやすくなることがあります。ある社員が気が付いて、隣の誰かに「こういう内容の訓練メールが来ているから気をつけて」といった具合に。
察知能力が高まった社内の誰かが不審メールに気が付いて、注意喚起を行えるというのはよいことではないでしょうか。

※1 NECフィールディングでは、ペネトレーションテストを行うサービスは提供していません。