標的型攻撃は、メールや添付ファイルを用いて特定の組織や個人を対象に行うサイバー攻撃であり、大規模な被害を出すことがあります。
標的型攻撃の予防には、教育研修が有効であるといわれますが、標的型攻撃の特徴にマッチした内容にすることが必要です。また、具体的に標的型攻撃の教育実施はどのように行えばよいのでしょうか。標的型攻撃を予防する教育研修についてまとめ、解説します。
また、標的型攻撃の教育に有効な標的型攻撃メール訓練を3ステップで効果的に実施できる資料&チェックリストを無料で配布しています。ぜひまずはご覧ください。
標的型攻撃の定義を振り返る
標的型攻撃(英:targeted attack)とは、攻撃者が機密情報の詐取など明確な目的を持って、特定の組織や個人を対象に行うサイバー攻撃のことをいいます。
目的がはっきりしており、攻撃者は手段を尽くすため、機密情報が外に漏えいすることもあり、大きな被害を出すことがあります。精緻な技術を使っていることもよく見られ、背後に国家や関連機関が関わっている場合もあります。
攻撃の形態ですが、初期段階ではメールを用いられることが多く、脆弱性を突く添付ファイルなどを対象者へ送り付け、マルウェアへ感染させることが典型的な手口です。また、メールに記載のURLから悪意あるWebサイトへ誘導し、マルウェアに感染させる場合もあります。 これを、標的型攻撃メールと言います。
攻撃者は、標的についてあらかじめ入念に調べ、業務内容など環境に合わせたソーシャルエンジニアリング的手法を用いるため、被害者も騙されやすい攻撃ということができます。
感染するマルウェアの多くは外部と通信を行い、組織内部のネットワークへ不正アクセスを行ったり、他端末へ感染を広げる被害もよくあることです。感染すると組織内部の機密情報を盗まれたり、あらたなマルウェアへの感染、システムやデータの改ざん、破壊活動といったリスクがあります。
標的型攻撃メールについて詳しく知りたい方は「業務連絡を装ったメールに注意!標的型攻撃メールの概要と対策」をあわせてお読みください。
標的型攻撃についての教育はどのように実施するか
標的型攻撃は、従来の単純な被害をもたらすウイルスとは、リスクの種類や傾向が大きく異なり、特に教育訓練を行うことは重要な対策とされています。
従来のウイルスに対しては、パソコンのアップデートやウイルス対策ソフトの利用、exeファイルに注意するなどの注意喚起が中心です。また、事前事後の技術的対策でも相当に有効であったといえます。
ところが、標的型攻撃は、被害者の行為を利用したソーシャルエンジニアリング的な手法が使われることから、従業員等に教育を施し、攻撃者の手口に乗らないようにしておくことがポイントです。
また、標的型攻撃は、被害者の行為が介入するので、技術的に完全予防しにくい面があります。そこで、発生をゼロに押さえるというより、発生してからどう対処するかがもう一つの重要なポイントと考えられます。
そこで、手口を見分けて、乗らないようにするための教育訓練・事前啓発が重要な課題となります。ひとたび攻撃者の手口に乗ってしまうと、被害者がさらに被害を拡大する可能性があり、事前の技術的な対策が単独では無効になりやすいので、1人1人が正しく理解・行動できることがリスクマネジメントの要諦です。
では、教育訓練の場で、実際何を従業員に理解してもらうかですが、予防のために望ましい行動を理解してもらうこと、そしていざというときは実践してもらうことです。
従業員等に期待される行動として、次の通りの行動を教育研修でしっかり理解してもらい、実践できるようにしてもらいましょう。
- おかしなメールがあることに気が付いたら、通報・報告をすること
- 感染が発生した時はパソコンを隔離し、ITサポートなどの専門部署に感染パソコンへの対処をしてもらうこと
- アラートなど事前にコミュニケーションルートを決めておき、注意喚起をするので、よく注意しておくこと
標的型攻撃は、日々手口が高度化しているので、リスクの最小化がこれで確実に図れるとは限りませんが、現在までに生じている典型例では上記の手順を踏むだけでも結果が違うと考えられます。また、将来も似たような手口は多数発生すると思われますので、有効です。しかも、これらの行動が早く取れれば取れるほど、被害が小さく抑えられると考えられます。
また、教育・訓練プログラムとして望ましい内容は次の通りです。
ウイルスメールのシミュレーション訓練により、気が付くスキルを計測・アップさせること
訓練メールを開かないようにし、報告ができれば理想的です。
しかし、全員がこうした行動を取れるとは限りませんので、万が一開いた場合でも、今後こういうところに気を付けておこう、といった注意喚起を行い、訓練を次の正しい行動につなげるようにします。
座学でも十分に説明を行い、標的型攻撃の手口について理解してもらうこと
特に、メールの見分け方・ソーシャルエンジニアリング的な手法の特徴について学んでもらいます。
のちほどもう少し詳しく見分け方については説明しますが、メールアドレスがおかしい・日本語が微妙におかしい・文字表示に不自然さがあるなど、被害を受けた例ではメールに外形上の特徴がある場合も多くみられています。
急ぎ・特に職位の高い人からのメールなど、攻撃者は被害者を利用する手段を用意して攻撃してくることについても理解をしてもらう必要があるでしょう。
報告が重要であること・報告ルートとして定められたルートを使うべきことを徹底すること
ウイルスメールかな?と思った際には、通報できる窓口を整備しておくことが前提ですが、報告を奨励し、小さい変化を見逃さないことが大事であることをよく理解してもらうようにしましょう。
所定の報告ルートに乗せると、最も早く対策を打てることを説明し、協力してもらうことが教育訓練の内容に織り込まれている必要があります。
逆に、感染率0%を目指したり、訓練用メールを開封した人をむやみに非難しないようにすることは重要なことです。また社内セキュリティポリシーのなかで、ウイルス対策ソフトがアラートを上げただけで始末書を取るなどとしていることがあれば「おかしなことが起きたら隠してしまった方がよい」との意識を醸成してしまうので、セキュリティポリシーを適切に改訂するなどして「変化があったら報告する・通報する」ことを奨励する意識付けを行います。
教育訓練プログラムの整備と共に、もし不足であれば情報システム部門などの担当者の体制や担当者における意識の見直しなどもなります。
標的型攻撃が一般化している今日では、インシデントはなかなか0にできるものではなく、発生してから被害を最小限にする対応が重要です。そこで、CSIRT(Computer Security Incident Response Team、シーサート)体制の整備などを検討しましょう。
また、組織としては、如何にして社員が気づいたこと、発見したこと、違和感があったことを報告してもらうかを考えて、窓口・報告ルートを適切に整備しておくべきです。
標的型攻撃メールの見分け方
標的型攻撃で多いのは、ウイルスが仕込まれた電子メール、なりすましメールやフィッシングメールなどがあり、一部のメールの外形には特徴があることは先ほど少しご紹介しました。
特徴と、見分ける難易度の高さは例えば次の順番のとおりです。
- 1. 実際の業務メールを盗み出し送受信された業務メール
- これは正常なメールと全く判別がつかないので、非常に難易度が高いものです。
ただし、話の文脈や、宛先・送信元などを総合して不自然さを感じ、発覚する場合もあります。 - 2. 業務関連メールに見せかけたメール
- 見せかけているのでこれも即座に見破ることは難しい面がありますが、見せかけたメールのメールアドレスやドメイン、フォントの微妙な違いなど、どこかがおかしい、と感じる人が増えてきます。
このあたりのレベルのメールが見破れるようにするのが、各社の情報セキュリティ教育研修の目標になっているケースが多いでしょう。 - 3. 他国語が混じっていたり、日本語の文法がおかしいメール
- こちらは明らかにおかしい・開いてはいけない、と即座に分かってほしいメールといえます。
2,3は外形上特徴があるので、しかるべき窓口に従業員が通報することが期待されます。
どこまでをどれくらいの割合の人が気が付くことができるか、実際のメール送信の訓練で確認する必要があります。
標的型攻撃の訓練サービスについて
標的型攻撃訓練には、専門ベンダーのサービスを使うことができます。限られた担当者で数多くメールを送信・分析するには、ベンダーに一部任せるなどして、効率よく進めることが得策です。そこでベンダーのサービスは一般的に利用されています。
リスクシナリオを準備し、メールの文面を検討、ベンダーのサービスサイトから送信します。ベンダーからはメール文面のひな形の提供を受けることや、結果を分析してもらい報告書をもらうなどのサービス提供が可能です。
まとめ
標的型攻撃は、被害者側の行為を利用した攻撃形態であること、また手口が非常に巧妙であることから教育訓練による予防が重要です。
しかし攻撃被害を0にすることは今では現実的な目標ではありません。攻撃にあっても1人1人が望ましい行動をとり、最小限に被害を抑えられることを目標に、メール送信訓練・座学研修などのプログラムを整備して実施しましょう。
導入実績1,800社超のセキュリオの標的型攻撃メール訓練は、eラーニングでの教育や毎週配信のミニテストとの組み合わせで従業員のリテラシーを向上させることが可能です。