標的型メール攻撃の怖さについて身をもって学ぶ
―― 先日、新しく提供を開始された「ITセキュリティ予防接種」はちょっと面白いサービスですよね。あらためてその概要をご紹介いただけますか?
川崎 はい。この予防接種は、エンドユーザーに擬似的な標的型メール攻撃を体験してもらうことによって、その体験を通したセキュリティ上の脅威への「気付き」を得てもらうことを意図したサービスです。
―― 標的型メール攻撃とはどういった脅威を指すのでしょうか?
川崎 標的型メール攻撃は、企業や組織を狙った産業スパイ活動の一環として最近被害が増加している、事業継続にも関わるセキュリティ問題の一つです。彼らは特定の企業や組織に所属する人々に対して、不正プログラムを含んだファイルを添付した電子メールを送りつけます。添付ファイルをうっかり開いてしまうと、ファイル内に仕込まれた不正プログラムがPC内に侵入し、組織内部のネットワークを特定の機密情報を求めてハイエナのように徘徊し、保存されている技術情報、個人情報、機密情報などを盗み出してしまうという仕組みです。
もちろん、企業や組織も様々なセキュリティ対策をうってはいます。電子メールがエンドユーザーに届く前に、ファイアウォールやメール・サーバでスパムメールや怪しいメールをはじいたり、デスクトップ端末に常駐させているウィルス対策ソフトで監視を行ったりしているのですが、100%完璧に不正プログラム感染を防ぐことは困難です。その網をくぐり抜けた攻撃メールが利用者のもとに届いてしまうことがあるのです。そうなってしまうと、あとは受信者の意識一つで不正プログラムに侵入される・されないが決まってしまう。
このグラフは、標的型メール攻撃に慣れていない企業でメールを受け取った社員が添付ファイルを開封するまでの時間を示したものなのですが、わずか30分で半数の人が開封しています。情報セキュリティマネジメントでは、怪しいメールが来たら上長へ、上長はCSOに上申して全社に向けて警告するようなルールを推奨していますが、それではとても間に合いません。PCを業務で利用している個々人が気をつけないと、この手の攻撃は防げないわけです。
最近は、送られてくる電子メールの内容が“高度”になっています。以前は、文面が英語だったり、日本語であっても表現が稚拙だったりと、“これは怪しい”とすぐ見分けがついたものでした。しかし、今は、内部の人間しか知らない社内の話題や業界用語を使ったり、本物っぽいメールの署名を偽造したり、実際の内部情報を悪用したりと手口がどんどん巧妙化しています。東日本大震災などの大事件が発生したときに、「大震災による被害状況」といったタイトルでメールを大量に配信すれば、誰しも添付ファイルを開封するためにクリックしてしまうでしょう。
―― 引っかかりやすくなっているんですね。
七戸 現状、悪意を持った攻撃者は「組織のセキュリティ対策上、一番弱いところを狙う」というのが定石です。攻撃する側としては、たった1人でも引っかかる人がいれば良い。99人がキチンとセキュリティ対策を行っていても、残りの1人が引っかかってしまえば、攻撃者は引っかかった人から窃取した情報をもとに、組織ネットワーク内部をはいずりまわることができます。よって、ITセキュリティ意識の低い人、悪意に免疫のない人、つまり「気づきにくい」人を見つけて風穴を開けようとしてくるのです。
川崎 とはいえ、こういった情報をただ聞くだけでは、なかなか理解できないものですよね。人間は痛い目を見なければ行動は変わりません。集合研修で専門家の話を聞いて、テストで合格点をめざすという一般的な教育手法ではどうしても実際の防御効果に限界がある。そこで、弱い菌を体に入れて免疫をつける予防接種のように、現実に近い形で攻撃を受けてもらって体験という名の抗体を作っていただくのがいいだろうと考えたというワケです。
