「標的型攻撃メール訓練」をセキュリティ会社の情シスが実施してみました。
取引先やパートナー企業を装い、不正なリンクやマルウェアを仕掛けたメールが送られてくる「標的型攻撃」。うっかりメールを開くことで、不正なサイトへ誘導されたり、ウイルスに感染してしまったりするリスクがあります。
今回、エムオーテックス(MOTEX)では「標的型攻撃メールといった不審なメールを受信した際、安易にリンクを踏んだり、添付ファイルを開いたりしないか」を社員に学んでもらうため、
「標的型攻撃メール訓練」
を、全従業員を対象に実施しました!
本記事では、メール訓練の詳細とともに、訓練時に「訓練を実施する側」「受け手側」それぞれが、気を付けるべきポイントについてご紹介します。
「自社の標的型攻撃メールへの危機意識を高めたい」
「社内で実際にメール訓練を実施したい・興味がある」
という組織の情シス・セキュリティ担当者様は、ぜひご覧ください!
【執筆者】
杉村 勇斗(すぎむら ゆうと)
経営企画本部 情報システム部 情報システム課
同本部 ISMS推進室 グループ長 / MOTEX-CSIRT
情報システム・セキュリティの2点から、従業員が平和に働くことができるよう日々奮闘しています。こういった情報発信活動については、まだまだ修行中の身です。
詳しい紹介はこちら
〜はじめに~ そもそも「標的型攻撃メール訓練」とは?
まずは皆さん、「メール訓練」ってご存知でしたか??
企業・組織へのサイバー攻撃は日々進化しており、アンチウイルス製品を入れるといったシステム上の対策が万全でも、巧妙化しているマルウェア(ウイルス)は防御策をすり抜けてしまうケースも少なくありません。
そのため、昨今は、従業員への情報セキュリティに関する訓練や教育といった「人の対策」が重要だと言われています。
「メール訓練」は、実際に発生した攻撃を模した疑似メールを、予告なく従業員に送付し、不審メールに対する意識を高めたり、個々人あるいは組織での対処方法を啓蒙したりする取り組みです。(防災訓練みたいなイメージ)
そして「標的型攻撃メール」とは、ターゲットとする組織から重要な情報を盗むことなどを目的として、従業員が自分の業務に関係するメールだと信じて開封してしまうように、巧妙に作り込まれたウイルス付きのメールです。
従業員が不審メールの添付ファイルやURLを開いてしまって、マルウェアに感染してしまう。そして、個人情報や機密情報が流出し、会社としての信頼を喪失したり、あるいは窃取された情報を人質に身代金を要求されたりする被害が、さまざまな業界・業種の組織で発生しています。
今やどのような組織であっても、メール訓練による対策が必要といっても過言ではありません。
メール訓練のイメージ
昨年、私が所属する情シス部門・CSIRTが主体となり、全社員を対象とした「標的型攻撃メール訓練」を実施しました。
▼標的型攻撃メールの例
訓練では、まず上記のような疑似的な攻撃メールを従業員に送付し、添付ファイルや本文中のURLへのアクセス状況を、開封率として算出します。従業員の標的型攻撃メールへの意識向上を目的とし、訓練を通して攻撃メールへの対応方法を実践します。
また、ただ訓練を行うだけではなく、訓練後に教育活動を行うことで、正しい攻撃メールへの対応方法を学ぶことができます。訓練と教育を繰り返し行うことで、最終的に開封率を0%に近づけます。
実際に攻撃メールを開いてしまい、マルウェアに感染してセキュリティ事故を起こしてしまう……といったリスクを減らすことを目標としています。
実際に「標的型攻撃メール訓練」を実施してみた結果
実は会社では、昨年事業統合があったことで、従業員数が大幅に増え、会社のセキュリティルールの浸透や、社員全員のセキュリティ意識向上が組織の課題となっていました。
そこで、2022年11月、全従業員を対象に、各従業員が所属する本部長名義で「事業方針に関する補足資料の確認依頼」という“ありそうな”内容で訓練メールを送付しました。
CSIRTとしては、入社時のセキュリティ研修で標的型攻撃メールへの注意喚起を行っているため、開いてしまうのは "ごく一部の従業員のみ" だと思っていましたが、思った以上に多くの従業員が本文中のURLをクリック(開封)してしまうという結果となりました。
セキュリティプロダクトの開発や、サービス・サポートを提供するメンバーなどは、日々セキュリティに関する情報に触れているだけにリテラシーが高いですが、社内にはバックオフィス系など、そうした情報にあまり触れないで業務をしているメンバーも存在しており、CSIRTの肌感覚としては「想像以上に開封者が多いな…」と感じました。
また、訓練メール送信後は、「実はあのメールは訓練でした」という種明かしと、訓練に関するアンケートを実施しました。
アンケートの中では、目立った回答として、「周りのメンバーからの注意喚起があったので開封しなかった」というコメントが2割近くありました。不審なメールやトラブルがあった際に情報共有できる文化があることは素晴らしいことだと思いますので、CSIRTとしては、この文化を育てていくことを今後も重視していきます。
従業員がメールを開封時に注意すべき3つのポイント
メール訓練を実施してみたところ、意外と不正メールを開封してしまう従業員は多かった・・・ということで、まずは、不審なメールを受信した際に「確認すべきポイント」を解説します。
みなさん、ぜひ今受信したメールから、このポイントで確認してみてください!
1.メールは次の順番で一つずつ確認すること
不審なメールを受信した時は下記のポイントを確認しましょう。
① 差出人メールアドレス
② メールの件名
③ メールの本文、添付ファイルやリンク
「① 差出人メールアドレス」で、不審なメールを見分けるポイントですが、差出人の表示名とメールアドレスが正しい組み合わせになっているか確認しましょう。仮に差出人の表示名が正しい場合でも、メールアドレスがおかしい・・・つまり、任意の文字列や類似ドメインで構成されたメールアドレスが使用されていることがあります。
このようなメールアドレスを確認した場合は、メールを開かず、自組織の「CSIRT」などといったセキュリティ担当者に報告しましょう。
※ CSIRT…セキュリティインシデント発生時に対応する専門組織・チームのこと
「② メールの件名」から不審なメールを見分けるのポイントですが、メールを開封させるため「内容の確認を依頼するようなもの」となっていることが多いです。訓練メールでは「下期方針について」という、訓練の実施時期に合わせたクリックを誘発する件名を採用しましたが、実際の攻撃メールも「先日の打ち合わせについて」や「至急の確認依頼」といった受信者の心当たりがありそうな表現になっています。
このようなメールが送られてくると中身を確認する必要があると思い、開いてしまいがちですが、 「① 差出人メールアドレス」と一緒に確認し、心当たりのないメールの場合は開封しないようにしましょう。
「③ メールの本文、添付ファイルやリンク」から不審なメールを見分けるのポイントは、メーラーにもよりますが、本文中のリンクにカーソルを合わせたときの「アクセス先のURL」表示です。
URLを確認し、心当たりのないドメインが使用されている場合などは、基本的にアクセスしないように注意しましょう。添付ファイルについては、「拡張子とアイコンが合っていないファイル」「二重拡張子のファイル」「実行形式の拡張子のファイル」についてはダウンロードや実行をせず、まずはCSIRTなどのセキュリティ担当に相談するようにしましょう。
2.不審なメールを受信した時は、決められた報告先へエスカレーションする
不審なメールを受信した時は、決められた報告先へ迅速に相談しましょう。報告することでCSRITから、組織全体への注意喚起を行うことが可能です。報告は早ければ早いほど良いので、不審なメールに気が付いた時点で報告しましょう。
3.訓練メールだと気が付いたときは、訓練であることを周りに言わない
3.はメール訓練の場合ですが、訓練中に「訓練メール」であることを周りへ言ってしまうと、実施する意味がなくなってしまいます。周りのメンバーに共有したくなってしまう気持ちは分かりますが、心の中でぐっと押さえておきましょう。
訓練実施側が注意すべき3つのポイント
ここからは、訓練を実施する側(CSIRTやセキュリティ担当)が注意すべきポイントをお伝えしていきます。
1.訓練後、アンケート収集や勉強会を実施する
訓練実施「後」のアンケートや勉強会は、必ず(といってよいレベルで)実施しましょう。
開封・未開封理由を収集することで、なぜメールを開いてしまったか、逆にメールを開かずに済んだのかの要因が分かり、「従業員を重点的に教育すべき要点」が発見できます。アンケート結果を踏まえたポイントを中心に勉強会を実施することで、従業員の標的型攻撃メールへの対策意識をより高めることができます。
2.訓練に「役員の名前」や「部署名」を利用する際は、事前に許可を取っておく
実際の攻撃メールも、実在のする人物や組織名を騙ることがあります。そのため、実在する役員や部署の名前(特に総務や情シスなど)を利用したメール文で訓練を実施するのは有効です。
しかし、訓練時に、従業員からその役員や部署のメンバーに、問い合わせが発生する可能性がありますので、事前に段取りをしておかないと、その人達の通常業務を妨げてしまい、社内クレームになりかねません。必ず訓練前に許可を取り、従業員からの問い合わせがあった際の協力依頼をしておきましょう。
3.CSIRTやセキュリティ担当に報告・相談しやすい空気を作る
訓練実施時に限ったことではありませんが、日頃から従業員→CSIRTやセキュリティ担当に報告・相談しやすい空気を作っておくことは重要です。この訓練のように不審なメールを受信したといったインシデントもそうですし、セキュリティ上何か気になる事案が発生した場合には、いつでも、どんなことでも迅速に従業員がセキュリティ担当に連絡し、CSIRTから社内へ注意喚起を行う仕組みが機能していなければなりません。
そのためには、社内勉強会などで、「CSIRTは従業員の味方であること」「従業員が不審なメールを開封してしまったと報告しても責めるようなことはせず、解決に向けて協力する姿勢であること」を、従業員に周知すると良いかと思います。
さいごに
今回は、「標的型攻撃メール訓練」についての取り組みと、従業員側・訓練実施側の両者が注意すべきポイントを、それぞれご紹介しました。
特に、注意すべきポイントについては、訓練の実施有無に関わらず普段から意識することで ”不審なメールの受信” をはじめとしたセキュリティインシデントが発生した場合に、迅速に正しく対処することが可能となります。
従業員がメール開封時に注意すべき3つのポイント
1.メールは次の順番で一つずつ安全かを確認する
① 差出人メールアドレス
② メールの件名
③ メールの本文、添付ファイルやリンク
2.不審なメールを受信した時は決められた報告先へエスカレーションする
3.訓練メールだと気が付いたときは、訓練であることを周りに言わない
訓練実施側が注意すべき3つのポイント
1.訓練後、アンケート収集や勉強会を実施する
2.訓練に「役員の名前」や「部署名」を利用する際は、事前に許可を取っておく
3. CSIRTやセキュリティ担当に報告・相談しやすい空気を作る
今後も情シス・CSIRT担当としての取り組みの中から、皆様に共有できるもの、皆様の役に立つ情報を記事にしていきますので、少しでも参考にしていただければ幸いです!
【執筆者】
杉村 勇斗(すぎむら ゆうと)
経営企画本部 情報システム部 情報システム課
同本部 ISMS推進室 グループ長 / MOTEX-CSIRT
情報システム・セキュリティの2点から、従業員が平和に働くことができるよう日々奮闘しています。こういった情報発信活動については、まだまだ修行中の身です。
詳しい紹介はこちら