Tweet

JPCERT/CCが「予防接種」の効果を報告

標的型攻撃の危険性はベテランでも新人でも同じ

2009/06/22

　JPCERT/CCは6月19日、特定の個人を狙ってカスタマイズされたメールを送り付けてマルウェアへ感染させようとする「標的型メール攻撃」の被害を減らす方法の一助として、「ITセキュリティ予防接種」が有効であるとする報告書をまとめ、公開した。同時に、ITセキュリティ予防接種を自社で実施するためのツールの無償公開を開始した。

　標的型メール攻撃とは、大量のユーザーを無差別に狙うのではなく、特定の組織や企業に属している個人をターゲットとし、タイトルや文面、送信者名を偽ってメールを送り付け、添付ファイルを開くように仕向ける攻撃の総称だ。ソーシャルエンジニアリングのテクニックを活用し、実在する組織・人名を織り込んだ内容が多いため、だまされる確率が高い。また、大量送信されるスパムメールとは異なり少数しか送信されないため、監視していもその実体を把握しにくい。

　JPCERT/CCでは、この標的型メール攻撃への対策として、ダミーの攻撃メールを送り付けてユーザーの理解を高める「ITセキュリティ予防接種」に取り組んできた。

　予防接種では、事前に教育を実施した上で、業務に関連すると見せかけたダミーメールをユーザーにそれと知らせることなく2回に渡って送り付け、標的型攻撃の危険性を気付かせる。その組織のドメインではなくフリーメールのアドレスから送信されるなど、怪しいと見分けるヒントも用意されているが、文面は、例えば「総務部より、社長のテレビ出演のお知らせ」「新型インフルエンザ対策行動計画案」という具合に、巧妙に工夫されていた。

　JPCERT/CCでは2008年6月18日から2009年3月31日までの間に、14企業／約2600人を対象に予防接種調査を実施。添付ファイルに仕込んだビーコンを用いて開封率を調べたところ、初回の平均開封率は45.4％だが、2週間の間隔を置いて実施された2回目は14.0％に低下した。

　開封率と年齢・経験の間に、相関関係は見られなかった。むしろ、長年在籍していたため、架空の「鈴木」という送信者からのメールを「昔、鈴木さんという人が在籍していたから」と開封してしまうケースもあったという。

　「新人だから（添付ファイルを）開いてしまうとか、ベテランだから開かないとか、そういうことはないようだ。必ずしも、業務に関する知識がソーシャルエンジニアリングに対する防御力として働くとは限らない。標的型攻撃の危険は皆が共有しているもの」（JPCERT/CC 早期警戒グループの小宮山功一朗氏）。

　それだけに「座学で学ぶだけでなく、体験型で標的型攻撃の危険性を理解することの効果は計りしれない。また、費用もそれほど変わらないので、ぜひ試してほしい」と同氏は述べた。JPCERT/CCでは、予防接種を実施するためのツールを無償で提供するといい、office@jpcert.or.jpで問い合わせを受け付ける。ただし、サポートなどは提供されない。

　小宮山氏はまた、「あらかじめ定めておいた緊急時の告知体制が機能しないケースが多かったことにも驚いた」と述べた。多くの企業・組織では、不審なメールが届いたときに備えて正規の窓口を設けてはいたものの、「ただでさえ忙しいIT管理者にこんなことを知らせていいものか、という遠慮もあったのか、そうした窓口に知らせるケースは少なく、近くのPCに詳しい人に聞くというケースが多かった」（同氏）という。

　報告がなければ、管理者は何が起こっているのかを把握することができない。被験者の62％は「今後は管理者への連絡を行う」と回答しているが、小宮山氏は「問題報告体制をもう一度考え直すべき」という。