Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

予告アリでも受診者の8割がアウト、あなたは疑似標的型メール攻撃の罠を潜り抜ける自信はある?

  2011/07/13 07:00

重要であることは分かっていても、ついつい疎かになりがちなのがセキュリティ対策。目に見えず、いつ訪れるかも分からない脅威に対して高い意識を保ち続けることは難しい。結果として、実際に痛い目を見るまで実感がなかなか湧かないという人も少なくないのではないだろうか。そんなITセキュリティの課題を解決すべく、ITセキュリティ専業の株式会社ラックが標的型メール攻撃を疑似体験できる新サービスを開始した。開発を担当した川崎基夫氏にリリースに至る経緯などを聞いた。

標的型メール攻撃の怖さについて身をもって学ぶ

株式会社 ラック 技術統轄本部 JSOC 担当部長 川崎基夫氏
株式会社 ラック
技術統括本部 JSOC 担当部長 川崎基夫氏

―― 先日、新しく提供を開始された「ITセキュリティ予防接種」はちょっと面白いサービスですよね。あらためてその概要をご紹介いただけますか?

 川崎 はい。この予防接種は、エンドユーザーに擬似的な標的型メール攻撃を体験してもらうことによって、その体験を通したセキュリティ上の脅威への「気付き」を得てもらうことを意図したサービスです。

―― 標的型メール攻撃とはどういった脅威を指すのでしょうか?

 川崎 標的型メール攻撃は、企業や組織を狙った産業スパイ活動の一環として最近被害が増加している、事業継続にも関わるセキュリティ問題の一つです。彼らは特定の企業や組織に所属する人々に対して、不正プログラムを含んだファイルを添付した電子メールを送りつけます。添付ファイルをうっかり開いてしまうと、ファイル内に仕込まれた不正プログラムがPC内に侵入し、組織内部のネットワークを特定の機密情報を求めてハイエナのように徘徊し、保存されている技術情報、個人情報、機密情報などを盗み出してしまうという仕組みです。

 もちろん、企業や組織も様々なセキュリティ対策をうってはいます。電子メールがエンドユーザーに届く前に、ファイアウォールやメール・サーバでスパムメールや怪しいメールをはじいたり、デスクトップ端末に常駐させているウィルス対策ソフトで監視を行ったりしているのですが、100%完璧に不正プログラム感染を防ぐことは困難です。その網をくぐり抜けた攻撃メールが利用者のもとに届いてしまうことがあるのです。そうなってしまうと、あとは受信者の意識一つで不正プログラムに侵入される・されないが決まってしまう。

 このグラフは、標的型メール攻撃に慣れていない企業でメールを受け取った社員が添付ファイルを開封するまでの時間を示したものなのですが、わずか30分で半数の人が開封しています。情報セキュリティマネジメントでは、怪しいメールが来たら上長へ、上長はCSOに上申して全社に向けて警告するようなルールを推奨していますが、それではとても間に合いません。PCを業務で利用している個々人が気をつけないと、この手の攻撃は防げないわけです。

 

図1:受信から30分以内に約半数のユーザーが標的型メール攻撃の罠に陥る
図1:受信から30分以内に約半数のユーザーが標的型メール攻撃の罠に陥る(出典:株式会社ラック)

 

 最近は、送られてくる電子メールの内容が“高度”になっています。以前は、文面が英語だったり、日本語であっても表現が稚拙だったりと、“これは怪しい”とすぐ見分けがついたものでした。しかし、今は、内部の人間しか知らない社内の話題や業界用語を使ったり、本物っぽいメールの署名を偽造したり、実際の内部情報を悪用したりと手口がどんどん巧妙化しています。東日本大震災などの大事件が発生したときに、「大震災による被害状況」といったタイトルでメールを大量に配信すれば、誰しも添付ファイルを開封するためにクリックしてしまうでしょう。

―― 引っかかりやすくなっているんですね。

 七戸 現状、悪意を持った攻撃者は「組織のセキュリティ対策上、一番弱いところを狙う」というのが定石です。攻撃する側としては、たった1人でも引っかかる人がいれば良い。99人がキチンとセキュリティ対策を行っていても、残りの1人が引っかかってしまえば、攻撃者は引っかかった人から窃取した情報をもとに、組織ネットワーク内部をはいずりまわることができます。よって、ITセキュリティ意識の低い人、悪意に免疫のない人、つまり「気づきにくい」人を見つけて風穴を開けようとしてくるのです。

 川崎 とはいえ、こういった情報をただ聞くだけでは、なかなか理解できないものですよね。人間は痛い目を見なければ行動は変わりません。集合研修で専門家の話を聞いて、テストで合格点をめざすという一般的な教育手法ではどうしても実際の防御効果に限界がある。そこで、弱い菌を体に入れて免疫をつける予防接種のように、現実に近い形で攻撃を受けてもらって体験という名の抗体を作っていただくのがいいだろうと考えたというワケです。

 

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

バックナンバー

連載:EZ Interview

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5