ITプラットフォームやネットワーク機器の脆弱性を悪用して侵入するランサムウェアの被害が話題だが、一方で、“人”の脆弱性を突く手法も後を絶たない。典型例が、実在する人物をかたった偽メールだ。
個人向けには金融機関やECサイトをかたったフィッシングメールが横行しているし、ビジネスの場でも、実在する取引先などを装ってやりとりし、多額の金銭を巻き上げる「BEC」、そして悪意あるソフトウェアをインストールさせてリモートから操作し、機密情報などを盗み取る「標的型攻撃」のリスクがある。
こうした手口には、明らかに不自然な日本語で書かれた稚拙なものから、実在する人物の名前を使い、過去のメールのやりとりをなぞって送られてくる巧妙なものまで、さまざまなパターンがある。メールのフィルタリングや「SPF」「DKIM」「DMARC」といった送信ドメイン認証など技術的な対策も進んではいるものの、100%確実に防ぐことは困難だ。やはり最後の砦は「人」となる。
その人のリテラシーを高める手段として、日本国内で10年以上前から実施されてきたのが「標的型攻撃メール訓練」だ。
訓練では、本文中のURLをクリックしたり、添付ファイルを開封したりするように促す文面が記された標的型攻撃メールを模したメールを対象者に送信する。受信者がその内容を信じてクリックすると、仕込まれたビーコンを通して誰が開封したかが分かる仕組みだ。同時に受信者の画面には、「これは訓練メールです。こうしたメールを受け取ったときには情報システム部に連絡してください」といったアドバイスを記した画面が表示されることが多い。
訓練に当たっては、どうしてもこの「開封率」が注目されがちだが、本来の趣旨としては「どのような手口があり、どこに注意すべきか」というリテラシーを高めること、そしてこうした不審なメールを受け取ったり開いてしまった場合に、速やかに情報システム部やセキュリティ担当に通知するといった対応の仕方を学ぶことにある。
実際に標的型攻撃メール訓練サービスを提供するラックの森田義礼氏は、「百聞は一見にしかずと言いますが、訓練を通して実際に体験してもらうことで、違和感があったとき、開封してしまった後に正しい対処が取れるのか、どこに報告すべきかを認識してもらい、有事の際に適切に対応できるようにすることがポイントです」と述べた。
標的型攻撃メール訓練は、日本年金機構をはじめ、大規模な標的型攻撃や情報漏えい事件が多発したことをきっかけに広く実施されるようになった。それから10年近くたつが、「やはり、会社間でのやりとりにはメールが多く使われることもあり、中小企業から大企業、官公庁も含め、メールに関するリテラシーを高めるという意味でも、引き続き訓練に対するニーズは存在しています」(森田氏)
基本的には、災害や火災に備えた避難訓練と同じように、年に1回など定期的に全従業員を対象に実施するケースが多い。一方で、新入社員向けのリテラシー向上というニーズもあるという。
「昨今の若い年代の方々の中には、社会人になってはじめてメールを使う人も多いようです。このため、訓練メールの内容をそのまま素直に受け取って開いてしまい、比較的開封率が高くなる傾向も見受けられます」(森田氏)。こうした人々に一度標的型攻撃メールを経験してもらうことで、手口を認識させる効果もあるという。
●安易な訓練が招きかねない、3パターンのトラブル
いくら巧妙な手口の危険性について説明しても、座学で話を聞くだけでは、右から左に抜けていきがちで、実際にターゲットの立場を体験することで認識を深められる効果が高まるのは確かだろう。だが、十分な準備を行わないまま、あるいは考慮を欠いた状態で訓練を実施すると、思わぬトラブルが発生することもある。森田氏によると、トラブルは主に3種類に大別できるという。
「1つ目は、訓練メールを受信した従業員の業務が混乱することによって実業務に影響が及んでしまうケースです。2つ目は、例えば大規模な企業で数千、数万のユーザーに一括して訓練メールを送った結果、通報が社内の窓口に殺到し、パンクしてしまう可能性です」(森田氏)
この2つの問題は、頻繁にとまではいかないものの、比較的多く耳にするそうだ。特に、初めて標的型攻撃メール訓練を実施する場合に陥りがちな問題だという。
3つ目は、自社以外の企業・組織、つまり第三者に迷惑を掛けてしまうケースだ。「訓練を重ね開封率が下がっていくと、本物の不審メールと区別の付かないような訓練メールを送りたい、という気持ちが生まれることもあります。開封率を高めるため、実在する組織名をかたった訓練メールを使ってしまう可能性があるかもしれません」(森田氏)
その結果、訓練メールを受け取った対象者が、実在する第三者に「おたくからこういったメールが来たんだけれど、どういうことだろう」と問い合わせ、結果として第三者の組織に迷惑を掛けたり、業務を妨害してしまう恐れがある。実際にはあまり起こっていないものの、訓練サービスを提供するに当たって同社が口を酸っぱくして注意しているという。
また、セキュリティ教育や訓練を重ね、ある程度リテラシーを高めた従業員が増えてきた場合に懸念されるトラブルもある。「受信者に多少リテラシーがあると、添付ファイルを『VirusTotal』などの外部の検査ツールにアップロードし、自力でマルウェアか否かを判別しようとすることも考えられます。しかし、これもトラブルの要因になりかねません」(森田氏)
訓練メールに使われる添付ファイルは、実際にはマルウェアではなく、報告先窓口の情報などが記載されている。機密情報そのものではないが、むやみに外部サイトにアップロードすることで「ここの会社はこういう訓練をやってるんだ、報告窓口のアドレスはこれだ」といった自社の情報が外部に漏えいすることになりかねない。
「今のところ実害につながった例は聞いていませんが、会社で受け取った情報を個人の判断でむやみやたらに外部のサイトにアップロードせず、社内の報告ルールに沿って適切に、会社に判断を委ねることが重要だと思います」(森田氏)
●トラブルを回避するための”ちょっとしたポイント”
せっかく時間と手間、そしてコストをかけて訓練を行うのだから、できる限りトラブルを起こさずに済ませるのが望ましい。そのために留意すべきポイントは何だろうか。
まず一つ目の「受信者の業務が混乱し、滞ってしまう問題」を避けるには、不審メールに対する対応を周知徹底し、理解してもらうことが第一だ。「不審なものが送られてくると、どうしたらいいんだっけ……と受信者が迷ってしまうパターンもあるでしょう。それを避けるため、普段から不審メールへの対応手順を周知し、『何かあったらここに相談、連絡すべきだ』ということをすり込んでいくことが一つの対策です」(森田氏)
また、あまりに長期間に渡るのではなく、短期間で実施するのもポイントの一つだとした。「混乱を避ける上でも、訓練実施後、すぐに『これは訓練メールなんだよ』と種明かしをしてあげることが大事だと思います」(森田氏)。中には、朝の10時に訓練メールを配信し、その日の夕方には種明かしをするスケジュールで実施するケースもあるという。
加えて、訓練メールに使われるURLや添付ファイルをクリックした場合に、きちんと「あなたは訓練メールを開封したため、次のステップとしてこういったアクションを取ってください」と誘導することも重要だ。これにより受信者も、「次に何をすべきか」に迷うことなく、正しい窓口に対して報告が行えるようになる。
次に、報告窓口やセキュリティ担当者のキャパシティーオーバーを避けるにはどういった点に留意すべきだろうか。
情報システム部門の人員が潤沢で、問い合わせ窓口にも余裕がある──といったケースはまずない。訓練のためだけに窓口要員を増強するのも非現実的だ。「訓練の日程や対象者を調整し、日程を短く設定したり、一度に送信する受信者の数を絞ることで、パンクのリスクを軽減できるのではないかと考えます」と森田氏。例えば、従業員が一万人いるからといって、一日で全員に送るのではなく、一日当たり1000通ずつ程度に分け、それも時間帯をずらしながら配信していく、というイメージだ。
負荷軽減に加え、個々人のリテラシーを上げるという目的から「事業所単位」「部署単位」ではなく、ランダム性を持たせてばらばらに訓練を実施するケースも多いという。「部署の近くの人に相談して『変なメールが来ているから開かないでおこう』と集団で判断することも大事ですが、個人の判断を問うことを目的とした訓練の場合、本当にバラバラに配信するやり方をよく聞きます」(森田氏)
そして、当たり前といえば当たり前だが、訓練企画者と窓口対応者が異なる場合は、抜き打ちではなく、事前に訓練の予定を知らせ、ネゴシエーションしておくことも重要だ。「『いついつに、こういう訓練をするから問い合わせが増えるかもしれませんが、よろしくね』という事前の調整は重要だと思います」(森田氏)
そして第三者の組織・企業の営業妨害につながる問題を避けるには、「実在する組織名や人物名は使わない」ことに尽きる。内部犯を模した訓練の一環として社内の組織名や人物名を使った訓練を実施するケースがないわけではない。しかし基本的に社外の第三者の名称は使わない前提で実施し、どうしてもという場合は第三者を「想起させる」程度で訓練を実施することが、トラブルを避けるために大事なポイントだとした。
近年、サプライチェーン経由の攻撃も増えており、実際に関係する会社の名前を使って訓練したいというニーズも生じているという。だが「親会社がグループ子会社の名前を使って訓練したい、という場合でも、グループ会社での許諾を得た上で実施することが大事です。勝手に他者の名前を使わないことが大前提となります」と森田氏は述べた。
●企画側の独りよがりではなく、訓練本来の目的に忠実に
森田氏は最後に、長年に渡って標的型攻撃メール訓練サービスを提供し、日本企業ならではの“お作法”に沿ったビジネスメールの作り方、そしてセキュリティの状況も把握してきた立場から、訓練の効果を高めるためのポイントを次のように述べた。
「訓練は教育の一環であり、受信者の理解を受けた上で成り立つものです。ですから『開封したからペナルティー』といったネガティブなやり方は避け、きちんと報告できたことを評価するポジティブな方向にフォーカスを当てて進めることが大事だと思います」(森田氏)
つまりは、開封率の数字に一喜一憂するのではなく、報告率もしっかり見ていくことが大事なわけだ。森田氏は、その報告率を高めるためにも、受信者からの報告にしっかり対応していくことが重要だとした。「受信者からすると、せっかく不審メールを報告したにもかかわらず窓口から何の応答もなく無視されるようだと、本当に不審なメールが来たときにも報告しない、といった風潮になりかねません」(森田氏)
そうした事態を避けるには、やはり企画側と受信者側のコミュニケーションが重要となる。大規模な企業の場合、訓練を行う前に事前に「報告をいただいても、窓口からの返信に時間がかかる場合があります」といった一言を添え、受信者の理解を得ながら進めていくこともポイントになる。
「企画側の独りよがりに陥ることなく、従業員の協力を踏まえながら進めていくことで、訓練が快く受け入れやすいものになると考えています」(森田氏)。そうした意識を持つことが、「受信者に開かせてやるために難しいメールを作ろう」といった企画者のエゴを抑え、訓練本来の目的を達成する上でも重要だとした。
近年、メールセキュリティも進化し、堅牢になってきたことから、かつてのように安易にメール経由でマルウェアが侵入する割合が、以前よりも少なくなってきているのは事実だという。
一方で森田氏は「メールを介して何かを踏ませ、侵害していく手口は簡単にはなくならないものでしょう。訓練を通して『こういう手法が存在する』という事実を認知してもらい、定期的にすり込んでいくことが重要です」とし、訓練の目的を見誤ることなく活用してほしいとした。