標的型メール攻撃対策概要 - ビジネスブレイン太田昭和

病院・医療機関向け
標的型メール攻撃対策 概要資料
株式会社ビジネスブレイン太田昭和
情報セキュリティ研究所
グローバルセキュリティエキスパート株式会社
Copyright (C) 2015 Business Brain Showa・Ota Inc
目次
標的型メール攻撃の詳細
標的型メール攻撃への対策
1.標的型メール訓練
–概要–訓練メールの内容–
–実施効果–
–報告書内容–
2.マルウェア感染調査
–概要–
–機器の設置イメージ–
–報告書内容–
Copyright (C) 2015 Business Brain Showa・Ota Inc
-1-
標的型メール攻撃の詳細
標的型メール攻撃とは
【 添付ファイルやリンク先をクリックさせてウィルス感染等を引き起こす攻撃 】
重要な情報を盗み出す手段として、実在または架空の企業や団体名になりすまし、特定または不特定多数の企
業、人物等に標的を絞ぁつたメールを送信し、受信者をリンク先URLに誘導、あるいは受信者にマルウェアを含む
添付ファイルを開かせるサイバー攻撃です。
よくある誤解(対策編)
誤解①【 ウィルス対策しているから大丈夫 】
この攻撃は、アプリケーションの未知の脆弱性を利用するゼロデイ攻撃や、各種OS・ソフトウェアのパッチ未適用と
いったスキ突いた攻撃を組み合わせており、ウィルス対策ソフトでは完全に防ぐことはできません。
誤解②【 攻撃されても、すぐ分かる 】
攻撃者の最終目的は、マルウェアに感染させてデータを破壊することではなく、組織内に深く潜行し、重要なデータ
を外部に持ち出すことです。多くの場合、初期症状が現れず、攻撃されたことに気が付きません。
Copyright (C) 2015 Business Brain Showa・Ota Inc
2
標的型メール攻撃への対策
前述の通り、標的型メール攻撃によるマルウェア感染を原因とした
情報漏えい事件が頻発しており、病院・医療機関も例外なく攻撃対象
になっています。未知のマルウェアが送りつけられるケースの多い標的型
攻撃では、アンチウィルスに代表される従来型の技術対策だけでは、全
てを防ぎきることは現実的に困難と言えます。
そこで、標的型攻撃に対する緊急対策として、標的型メール訓練、
マルウェア感染調査の実施をご提言します。
マルウェアに感染すれば、これ
を契機に医療(患者)情報
が外部に流出する可能性、あ
るいは感染端末を踏み台にし
て、病診連携先の病院に攻
撃を仕掛ける可能性(加害者
化)などが想定されます。
1.標的型メール訓練
標的型攻撃メールを模擬した「訓練メール」を職員に送信することで、標的型メールに対する見分け方や対処方法
を訓練します。これにより、実際に、標的型メール攻撃に遭った場合に被害の拡大を防ぐことができるとともに、現状
のリスクレベルの実態を把握することができます。
2.マルウェア感染調査
院内のサーバやPCがマルウェアに感染していないか、専用の調査機器を期間限定で設置し現状調査を行います。
これにより、マルウェアにより被害発生の有無を確認できるとともに、今後の技術的対策の導入検討の足がかりとす
ることができます。
実施
体制
標的型メール攻撃対策は、ビジネスブレイン太田昭和(BBS)
が病院・医療機関向けに監修し、グローバルセキュリティエキスパ
ート(GSX)の調査員が実施します。
Copyright (C) 2015 Business Brain Showa・Ota Inc
-3-
グループ
情報セキュリティ、情報システムリスク・ITマネジメン
トリスクマネジメントのコンサルティングサービス
1.標的型メール訓練
Copyright (C) 2015 Business Brain Showa・Ota Inc
4
標的型メール訓練 –概要標的型攻撃メールを模擬した【訓練メール】を対象者に送信します。実際に、どの程度のユーザが攻撃メ
ールを開封してしまうか、【現状のリスクレベルを調査把握】すると共に、ユーザのセキュリティ意識の向上
やリテラシー向上を図る事が可能です。
訓練メールに含まれる、URLリンクあるいは添付ファイルを開封した対象者には、教育コンテンツが表示されると共に、開封し
た日時等のアクセスログがGSX訓練サーバ側に取得されます。最後に訓練結果を集計し、ログデータ一式と共にご報告差し
上げます。何%のユーザがこれを開封してしまうのかリスク度合いを可視化可能です。
訓練メールの例
実施イメージ
内容
送
信
元ア
ドレ
ス
[email protected]
件
名
【秘】前回議事録の送付
本
文
平素大変お世話になっております、
ABCシステム田中です。
前回お打ち合わせの際の議事録について、
添付ファイルにて送付させて頂きます。
お取扱いにはご留意を御願い申し上げます。
ABCシステム 田中
添
付
議事録_ABCsys_0110.doc
Copyright (C) 2015 Business Brain Showa・Ota Inc
5
標的型メール訓練 –訓練メールの内容–
訓練メール内容については、豊富な雛形を準備しておりますが、内容のカスタマイズ等は自由に実施可能です。
※以下は一部サンプルです。
内容
病院見学の希望
送信元アドレス
田中
[email protected]
件名
病院見学のお願い
本文
総務人事課 採用担当者様
希望日程等は、病院見学フォーム
を添付しますので、ご確認下さい。
URL/添付ファイル
病院見学フォーム.zip
→病院見学フォーム.xlsx (解
凍後)
研修医の応募
佐藤
[email protected]
夏季休暇に関する連絡
初期臨床研修担当者様
経歴の詳細は、履歴書の内容をご確
認下さい。
履歴書氏名日付.docx
情報セキュリティ対策
医療情報部
【至急】
アップデートのお願い
電子カルテのソフトウェアに脆弱性が
発見されましたので、添付のファイル
を実行して下さい。
update.exe
開催に伴い国際オリンピック協会より
以下の要請が出されておりますので、
ご確認ください。
処方箋.JPG
心療内科医への相談
[email protected]
山田
[email protected]
業者からの営業
○○株式会社 鈴木
学会開催案内
××学会 事務局
訓練の目的・お客様の業態に応
じ様々な内容をお選び頂けます。
全く新しい内容をカスタマイズし
て作ることもできます。
[email protected]
[email protected]
薬に関する相談
△△システムの仕様に関
するお打ち合わせ
学会スケジュールについて
差出人は自由に設定できま
す。メールアドレスは当社指
定及びGmail,Yahoo等フ
リーメールのアドレスを使用
できます。
Copyright (C) 2015 Business Brain Showa・Ota Inc
□□病院 ✕✕先生
当社製品の仕様検討にあたり、事前
に仕様書を添付しますので、ご確認く
ださい。
□□病院 ✕✕様
いつもお世話になっております。××g
学会を開催しますので、是非ご参加
下さい。
本文内に訓練対象者の名前
や部署名を挿入して、より関
心を惹きつけることができます。
6
△△システム要求仕様書.pdf
セミナー開催のご案内:
http://www.jami2015.org/par
t.html
添付ファイルはDOC, EXE,ショ
ートカット(lnk)形式が使用でき
ます。(ZIP圧縮&パスワード設
定も可)URLリンクのドメイン名
は弊社メール訓練専用ドメイン
が利用可能。
標的型メール訓練 –実施効果–
調査・評価目的での実施効果
1
攻撃メールへのリスクレベルを評価把握!
実際に、どの程度のユーザが攻撃メールを開封してしまうか、現状のリスクレベルを調査把握する事が可能です。
より踏み込んだ技術的な対策などの導入をご検討される場合、この結果を参考にすることが可能です。
教育・啓蒙目的での実施効果
2
ユーザ端末のマルウェア感染率を大幅低減!
ユーザが攻撃メールを誤って開封してしまう確率が半分になれば、ユーザ端末のマルウェア感染リスクも半分になり
ます。過去の実績では、継続的にあるいは複数回メール訓練を実施した場合、その開封率は半分~三分の一まで
低減しています。
教育・啓蒙目的での実施効果
3
感染時の初動対応を徹底し、被害を最小化!
ユーザーが攻撃メールを誤って開封してしまった場合でも、適切な初動対応ができれば被害を最小化することが
可能です。教育コンテンツに、”LANケーブルを抜いてヘルプデスクへの報告”するルール等を記載することで、適切
な初動対応についても教育訓練が可能です。
Copyright (C) 2015 Business Brain Showa・Ota Inc
7
標的型メール訓練 –報告書内容–
報告書には全体の集計結果等をとりまとめて記載致します。またエクセルデータにて、対象者毎のアクセス
ログデータをご納品させて頂きます。
また、ご要望に応じて、同業種同業態との開封率の比較データなども報告書に記載可能です。
報告書イメージ 開封結果
開封結果(全体開封率)
他社実績による開封データ比較
報告書イメージ 開封率
部門別開封率
Copyright (C) 2015 Business Brain Showa・Ota Inc
組織別開封率
8
開封低減 変化要因分析
2.マルウェア感染調査
Copyright (C) 2015 Business Brain Showa・Ota Inc
9
マルウェア感染調査
–概要–
ネットワーク・ゲートウェイに専用の調査機器(アプライアンス)を設置し、マルウェアへの感染状況を調査し
ます。
設置までの準備調整に2-3週間、設置後3週間程度の期間を調査期間としております。
(設置については、必要に応じてネットワーク機器保守事業者と直接の調整も可能です。)
①どのくらいマルウェアの脅威に晒されているのか
(調査期間に侵入してくるマルウェアや未知の脆弱性
を突く攻撃の有無)
GSX調査用機器
②既にマルウェアに感染している端末の有無
(攻撃者サーバへの通信=コールバック通信の有無)
結果については、その後レポートとして作成し、報告会を開催させて頂きます。
Copyright (C) 2015 Business Brain Showa・Ota Inc
10
マルウェア感染調査 –機器の設置イメージ–
アプライアンスをGSXが設置致します。
L2スイッチにポートの準備をお願い致しま
す。
ミラーポートに設置致しますので、既存の
システムないし業務への影響はございませ
ん。
GSX調査用機器
L2スイッチ
Copyright (C) 2015 Business Brain Showa・Ota Inc
11
マルウェア感染調査
–報告書内容–
Copyright (C) 2015 Business Brain Showa・Ota Inc
12
 Spirit プロフェッショナル精神、それがBBSの使命です
 Stage 新たなステージを拓く、それがBBSのサービスです
 Success お客様に輝いていただくこと、それがBBSの喜びです
Copyright (C) 2015 Business Brain Showa・Ota Inc
-13-