JPCERT/CCが標的型攻撃への対策を調査
ダミーメールの予防接種で標的型攻撃に対する「抗体」を
2008/08/07
2006年以降、「標的型攻撃」の危険性が指摘されるようになった。無差別に大量のメールやウイルスをばらまくのではなく、特定の組織に属する個人を狙い、カスタマイズされた攻撃を仕掛けるものだ。送信先(=ターゲット)に応じてメールの文面などが工夫されるため、大量配信型の攻撃に比べ、対策が難しいとされる。
JPCERTコーディネーションセンター(JPCERT/CC)によると、2006年以降、国内でも多数の標的型攻撃、中でも凝った文面で悪意あるメールを送り付け、添付ファイルを実行させようとする「標的型メール攻撃」が多数確認されているという。それも、警察庁や防衛庁など、政府機関を狙うケースが多い。こうした標的型メール攻撃では、PDFやMicrosoft Office、一太郎といった「オフィス」で利用されるアプリケーションの脆弱性を悪用するファイルが添付されている。
JPCERT/CC 早期警戒グループ 小宮山功一朗氏JPCERT/CC 早期警戒グループの小宮山功一朗氏は、標的型攻撃には3つの側面からの対策が必要だと述べている。
1つは、送信者をかたって送られてくるメールを見分け、攻撃を判別する技術的な対策で、送信ドメイン認証やメッセージへの署名などが該当する。2つ目は、攻撃が成功したとしても、その被害を最小限に留める仕組みだ。ある程度被害は生じてしまうだろうという前提に立ち、たとえ添付ファイルをクリックしたとしてもそれが無害化されるような最新のアプリケーションを利用したり、ファイルを開くための専用マシンを別に用意するといった方策が考えられる。
そして、最後の砦がユーザー教育だという。
「やはり近年の標的型攻撃は人を狙ってきている。ゆえに、人の対策が欠かせない」(小宮山氏)。しかし、ユーザー教育はなかなか困難だ。そこでJPCERT/CCでは、標的型攻撃とその対処方法に対する理解を高める新たなアプローチとして、「予防接種」という方法に取り組んでみたという。
ダミーメールで標的型攻撃への抗体を作る
現実の世界では、インフルエンザなどの流行に備え、あらかじめ予防注射を打ち、体の中に抗体を作ることで予防を図っている。標的型攻撃に対する「予防接種」は、このアプローチに習い、エンドユーザーにそれと知らせずダミーの攻撃メールを送り、適切に対処されるかどうかをテスト。いわば、抜き打ちテストを実施して、標的型攻撃に対する抵抗力を付けるものだ。
JPCERT/CCでは2008年1月から3月にかけて、5組織、延べ116人を対象に、試験的に予防接種を実施した。組織ごとにダミーメールの内容をカスタマイズし、1回目のメールを送信。このメールを見て添付ファイルを開いてしまったユーザーには説明を行い、攻撃手法への理解を促したうえで、2週間ほど間を置いてもう一度疑似攻撃メールを配信したという。
あるオンラインリテール企業では、27名を対象に予防接種を実施。1回目で添付ファイルを開封してしまったのは5名だった。開封ユーザーを対象に説明を行った後、文面にいっそう工夫を凝らした2度目のダミーメールを配信したところ、この5名は開封しなかった。小宮山氏は教育効果が持続した結果ではないかと見ている。なお2回目の配信では、1度目は引っかからなかったユーザー3名が添付ファイルを開封してしまったという。
別のITセキュリティ企業では、セキュリティ教育の効果を確かめるため26名を対象に予防接種を実施した。1回目では3名が開封したが、2回目では開封したユーザーはゼロになった。
「ITスキル」と「開封率」に相関はない
興味深いことに「『エンジニアだから開かない』『(ITに関する知識の少ない)総務だから開く』といったことはなく、ソーシャルエンジニアリングを用いた標的型攻撃メールに対しては、技術者スキルだけでは対応できないことが改めて示された」(同氏)という。
小宮山氏は、サンプルが少ないのは事実だとしながらも、一連の結果を踏まえ「予防接種手法には、標的型攻撃というこういった手法があるのだということを認識させる効果がある」と述べた。
ただ、企業によっては、社員が「だまされた」と反感を抱くこともある。いきなり予防接種だけを実施してもあまり意味はなく、事前の教育やその後のフォローアップをきちんとやってはじめて、相乗効果が生まれると述べた。
また、予防接種のメリットの1つに、コストをかけずに実施できることが挙げられる。さらに、「こうした怪しいメールがやってきた」ということが担当者に届いたかどうかによって、インシデントに対する社内の情報共有体制がきちんと機能しているかどうかを見極める手段としても利用できるという。
JPCERT/CCでは今後も、ほかの組織に対象を広げ、標的型攻撃に対する予防接種の有効性について検討していく計画だ。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
