標的型メール攻撃の訓練について

2016 August Special-2
東京海上日動 WINクラブ
http://www.tmn-win.com/
標的型メール攻撃の訓練について
警察庁が毎年 3 月に公表する年間のサイバー攻撃に関するレポート1によれば、標的型メール攻撃はますます増えて
きており、昨年は前年比2倍以上で過去最多となりました。
また、同レポートは標的型メール攻撃への有効な対策のひとつとして従業員への訓練を挙げていますが、情報処理推
進機構等の関係団体の対策ガイドラインや日本年金機構の情報流出事案の検証委員会の報告書等2でも、
同様に従業員へ
の実践的な訓練を有効な対策と論じています。
本稿では標的型メールに対する従業員向けの訓練の重要性とその概要について解説します。
Ⅰ.標的型メール攻撃への訓練の重要性
標的型メール攻撃に対しては、企業の経営者、システム管理者、従業員がそれぞれの役割に応じて、組織的・人的対
策と技術的対策を、システムの入口、内部、出口と多層的に実施していく必要があります(図表1参照)
。
電子メールの仕組み上、入口の技術的対策だけで不審メールを100%判別して防御することは困難です。このため、
「入口」の技術的対策をすり抜けてしまった不審メールを従業員が判別して処置する「内部」の人的対策が極めて重要
になります。人の判別や処置には一定のミスが発生するため、最終的に情報流出を阻止する「内部」や「出口」の組織
的対策や技術的対策も必要ですが、これらが有効に働くためにも「内部」の人的対策を徹底して侵入の最小化を図るこ
とが重要です(標的型メール攻撃への対策の組織的・人的対策、技術的対策の事例は図表2参照)
。
【図表1:標的型メール攻撃への多層的対策のイメージ】
【図表2:標的型メール攻撃への組織的・人的対策/技術的対策の事例】
1 警察庁「平成27 年におけるサイバー空間をめぐる脅威の情勢について」
(2016 年3 月)参照。2015 年中に警察がサイバーインテリジェンス情報ネット
ワーク(警察と事業者等との間で情報窃取関連のサイバー攻撃の情報共有を行う枠組み)から報告を受けた標的型メール攻撃は3,828 件と過去最多であったと
しています。
2 情報処理推進機構「IPA対策のしおりシリーズ10 標的型攻撃メール<危険回避>対策のしおり」参照。また、日本年金機構における不正アクセスによる
情報流出事案検証委員会「検証報告書」
(2015 年8 月)では、
「教育訓練の徹底」の具体的対策として「疑似メールなどによる実践的な訓練」が挙げられてい
ます。
1
Copyright (c) Tokio Marine & Nichido Risk Consulting Co., Ltd.
一方、最近の標的型メール攻撃は①会社・部門の全員への「ばらまき型」
、②ビジネス文書として一般的な Word 文
書のファイル添付、③企業の非公開メールアドレスへの送信、④送信元の偽装(自社や業界団体など)といった特徴(下
記の図表3の事例参照)があり、内容も巧妙に業務上の連絡を装ったものが多いため、正当なメール・文書と誤認しや
すく、また不正プログラムの感染に気付きにくくなっています。このため、人的対策を徹底する方法としては、社内の
メールシステムに疑似メールを送付して、標的型メール攻撃の疑似体験を繰り返す実践的な訓練が極めて重要となって
います。
Ⅱ.標的型メール攻撃への訓練の概要
標的型メール攻撃に対する訓練の目的は、不審メールの判別方法を理解し、対処方法を習慣付けることです。また、
傾向や手口が変化する標的型メール攻撃に対して、日常業務の中で不審メールに対する警戒心を維持・向上していくこ
とも重要な目的の1つです。そのため、訓練自体を単発で終わらせることなく、継続していく必要があります。
現在、主にITベンダーなどから標的型メール攻撃の模擬訓練のサービスが、訓練対象者数、メール回数、結果報告
等の付帯的サービスに応じた様々な価格で提供されています。以下に一般的なサービスのイメージを示します。
【図表3:標的型メール攻撃訓練の一般的なサービスのイメージ】
標的型メール攻撃に対する訓練では、不審メールに対して上記図表3のように①添付ファイル開封、または②URL
クリックの操作をした場合に警告画面が表示されます。
警告画面では、訓練で習得していただく2つのポイント、不審メールに騙されないための「見分け方」と騙された場
合の応急処置も含めた不審メールへの「対応方法」が説明されます。
不審メールの「見分け方」については、
、案件・本文、メールアドレス、添付ファイル、URLリンク等の具体例を使
って標的型攻撃メールを見極めるポイントが示されます。
一方、不審メールへの「対応方法」としては、不審メールに騙されなかった(見分けることができた)場合は不審メ
ールの受信を社内窓口に連絡する、また不審メールに騙された(誤って操作した)場合にはすぐにLANケーブルを外
し、その旨を社内窓口に連絡するといった対応手順が説明されます。仮に内部に不正プログラムが侵入しても、多層的
な対策で早期に検知、駆除、通信遮断することで情報流出を防止する可能性が高まるため、この迅速な対応の習慣付け
は大切です。
尚、これらの訓練は標的型メール以外の不特定対数に対する迷惑メール(フィッシングメール等)にも有効です。
繰り返しになりますが、この訓練の目的は「騙されないこと」だけでなく、
「騙された場合の対応の習得」も兼ねてい
ます。企業の皆様におかれましては、すぐに報告すれば出口で情報流出を阻止できることを従業員に周知し、一連の基
本動作がすべての従業員に定着するように、繰り返し訓練を行っていただくことを強く推奨します。
東京海上グループのソリューション
東京海上日動火災保険株式会社では、サイバーリスクや個人情報漏えいに備えるための保険をご用意していま
す。詳細は社員または代理店にお問い合わせください。
2
Copyright (c) Tokio Marine & Nichido Risk Consulting Co., Ltd.