前編では、標的型攻撃メール訓練に潜む落とし穴について説明を行いました(【コラム】セキュリティのトビラ 標的型攻撃メール訓練のトビラ(1))。後編では、訓練に関する"ある実験"の結果や年金機構のメール文を例に、メールテストの正しい利用法について解説していきます。
問題は?
こういった訓練について2011年に興味深い実験結果が報告されているのでそちらを紹介しましょう。これは、現在IBM傘下となったTrusteerが実施したものです。
セキュリティ教育を受けたと判断できるユーザー100人に対し、知人がライバル会社に転職したことを知らせるメール(ビジネスSNS「LinkedIn」の通知に偽装)を100人に送信しています。そして、メール内に記述されているリンクをクリックするかどうかを調べるというものでした。7日以内にリンクをクリックした人、クリックしなかった人の結果は以下の通りです。
24時間以内にクリック:41人
48時間以内にクリック:52人(24時間以内から11人増)
7日以内にクリック:68人(48時間以内から16人増)
クリックしなかった:32人
通常の訓練であればクリックをした方にフォーカスして、何かしらの教育を行うことが多いわけですが、この実験ではクリックしなかった方に「リンクをクリックしなかった理由」を訪ねています。理由とその人数の内訳は以下の3通りです。
「(見逃しやスパムフォルダに入って)そのメールを見ていない」:16人
「興味を引かなかったためクリックしなかった」:9人
「普段からLinkedInの更新メールは読んでいない」:7人
合計すると32人になります。以上の結果を踏まえると、セキュリティの教育を十分に受けたと判断できる人でも、偽物のメールであることに気付いた上でリンクをクリックしなかった人は0人であることがわかったわけです。また、それと同時に、開いた人が7割近くいたというケースが存在するということを教えてくれています。
それでは、今回の攻撃で日本年金機構に送られてきた攻撃メールの内容を見てみましょう(一部伏字)。
件名:「厚生年金基金制度の見直しについて(試案)」に関する意見
○○ ○○様
5月1日に開催された厚労省「厚生年金基金制度に関する専門委員会」最終回では、厚生年金基金制度廃止の方向性を是とする内容が提出されました。これを受けて、企年協「厚生年金基金制度の見直しについて(試案)に関する意見」を、5月5日に厚労省年金局企業年金国民年金基金の■■課長に提出いたしました。
添付ファイルをご覧ください。(本文内にYahooボックスへのリンクが記載)
これが公開アドレスに届いたわけです。
公開アドレスというのは、常時不特定多数の方からメールを受け、その内容に目を通して処理することが目的とされているもののはずです。そこにこれだけの文章のものが届いた場合、果たしてどれだけの人が騙されないでいられるでしょうか。
もちろん、騙されない方もいるでしょうし、常にそのように対処できるのであれば、それほど素晴らしいことはありません。しかし、現実問題として騙されてしまう人がいると筆者は考えています。
さて、訓練に話を戻しましょう。
筆者が知人から聞いた"実際の組織で行われた訓練の話"も紹介しておきたいと思います。
その組織では各グループごとにセキュリティの窓口の役割を担う方がいるそうです。そして、訓練が行われた際に、そのグループの開封率が"窓口の人の評価"に影響を与えるのだそうです。
評価に影響がある人からしたら死活問題ですよね。いつ訓練が行われるか、気が気でなかったことでしょう。そして、その人の取った行動は……。
いつ行われるか分からない訓練の実施をいち早く気付くために日々メールをチェック
訓練のメールを受信した時には、口頭で「今、訓練が行われているからメールを開かないように」とグループの人に通達
これでは身も蓋もありませんね。
ここまでの説明して来たこと全てが、訓練の行われ方について筆者が懐疑的になるポイントです。
しかし、その一方で、筆者は「訓練そのものが無駄である」とは考えていません。
皆さんには、世の中に存在する訓練の意義を今一度考えていただきたいと思います。例えば、火災訓練を思い浮かべてください。
火災訓練と聞いて、「火事そのものを起こさないための訓練」を浮かべる方は少ないと思います。おそらく、殆どの人が「火事が発生したことを想定した避難の訓練」を浮かべることかと思います。
火事が起きたときの死因として多いものとして一酸化炭素中毒があります。物が燃えることによって発生する煙に視野を奪われ、有毒ガス吸い込んでしまい意識障害を起こし、結果、逃げ遅れて焼死してしまうそうです。
火災によって発生する有毒ガスが室内上部に集まりやすいため、火災訓練では姿勢を低くし、ハンカチなどを口に当てて避難する経験があることでしょう。
そして、人が避難する際にパニックに陥り、ビルの出口に殺到した時の転倒などによる二次災害を避けるために、慌てずに落ち着いて行動しつつ避難経路を確認するといった行動をしますよね。
上記のように頭で分かっていても、いざという時に考えているままの行動を起こすことは難しい。だからある程度、定期的に火災訓練などを行い、"慣れを養う"わけですね。
これは標的型攻撃メールの訓練でも同じことが言えるかと思います。
もちろん、怪しいメールに遭遇したら添付ファイルを開かず、本文中に記載されたアドレスにアクセスしないに越したことはありません。ただ、人間がすることですから、組織すべての人が常に100%そのように行動することは不可能といっても過言ではないと思います。
そうとすれば、火災訓練などと同じように標的型攻撃メールが送られてくること、そして、それを開いてしまうということがありうるという前提で訓練を行う必要があるのではないでしょうか。
不審なメールを受け取ったと気付いた時や、マルウェアの感染が疑われる時など、普段とは異なる事象に遭遇した時に被害が拡大するのを防ぐためには、どのように行動すべきか。
迅速に関係各所に報告することができるか
そもそも、その関係各所というのはどこなのか
社内のマニュアルではどのように対応することになっているのか。
平時にこそ確認して、異常時に備えるために行う訓練であれば筆者はとても有意義なものであると思います。
よって、「開いた/開かない」「クリックした/クリックしなかった」ということにのみにフォーカスして、一喜一憂するようなものではないと思います。そうではなく、事が起こったときにきちんとした行動ができるかどうかまでの温度感をはかる。
訓練を行った結果、「全体の何人が開いたか」「クリックした/しなかった」に加えて、「全体の何人が正しい行動ができたのか」をはかり、「慣れを身につける」という訓練を行う必要があるのではないでしょうか。
少なくとも、訓練は騙されてしまった方を責めるために行うものではありません。セキュリティやそれを実現するための技術や知見は人を守り、安心を与えるために存在するもののはずです。決して、人を傷つけるものではないと思います。
また、そのような行い方をすることによって、本当に必要なときに報告が上がってこないといった文化が出来上がり、それが被害の拡大を招く結果が危惧されます。
攻撃を行う側は金銭や思想などをモチベーションに連携したり、組織的に攻撃を行ってきています。基本的に、攻撃を行う側の方が有利であり、私たちは防戦一方を強いられます。
負けることはあっても勝つことはありません。
そうなるとわかっているのですから、守る側の私たちも組織全体で「情報だけではなく、人も守る」という意識を持って取り組んでいかなければならないのだと強く思います。
とは言え、セキュリティの専門家だけでは立ち行かない状況になっていると実感しています。守る側の中で吊るしあい、責任の擦り付け合いをしていても仕方ありません。
標的型攻撃に対峙する時、悪意を持った敵は外にいます。
その相手には社会全体で力を合わせて立ち向かっていくようにならなければ負けっぱなしになってしまいます。そんなのは悔しいじゃないですか。みんなで頑張りましょう。
著者プロフィール辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社
セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面から見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。