身をもって偽装メールを体験し、免疫強化

「予防接種」で攻撃メールを見破る「眼力」を、ラック

2011/06/30

　「標的型メールを見破るには、メールを処理する人の『眼力』が必要だ」――ラックサイバーリスク総合研究所開発センター CBCプロジェクト担当部長の川崎基夫氏は、6月14日に発表した新サービス「ITセキュリティ予防接種」の目的について、このように語った。

　ITセキュリティ予防接種とは、標的型メール攻撃に対する防災訓練のようなサービスだ。2回にわたって擬似的な攻撃メールを社内に配信し、その脅威を身をもって体験することにより、標的型メール攻撃に対する「免疫」を付けることを狙っている。料金は、100名までの場合は100万円、500名までで250万円だ。

ラックサイバーリスク総合研究所開発センター CBCプロジェクト担当部長の川崎基夫氏

　同サービスでは、顧客に合わせてカスタマイズした文面、添付ファイルの偽装メールを内部に配信し、開封率を調査する。そして訓練の種明かしを行った後、数カ月の間を置いて2回目の偽装メール攻撃を実施する。もちろん「だまし討ち」にならないよう、最初に偽装メールを配信する前に、標的型メール攻撃に関する注意喚起や集合研修を実施しておく。

　偽装メールにはビーコンが仕込まれており、開封率を把握できる。こうした数字を基に、どの程度攻撃を受ける可能性があるかを認識し、企業として「攻撃があること」を前提とした対策につなげる。またユーザーの側も、実際に標的型攻撃メールを体験することで、理解度を高め、巧妙な偽装メールを「ついうっかり」開いてしまう可能性を下げることにつなげる。

　もともと偽装メールを用いた「予防接種」の実証調査は、JPCERTコーディネーションセンター（JPCERT/CC）が2008年、2009年に実施していた。川崎氏は、別の会社に在籍していた当時からこのプロジェクトに参加しており、予防接種の実施により、開封率が有意に下がることが確認できたという。

　例えば2009年のデータでは、「1回目では3割ちょっとが開いてしまったのに対し、2週間後に実施した2回目では、その数値は10％強まで下がった」（同氏）。

　また予防接種で付いた免疫には、上記のような短期的な効果はもちろん、長期的な効果も認められた。2008年の1年後に行った比較においても、開封率は低いままだったという。「実際の体験の強さを物語るものだ」と川崎氏は述べている。

人の眼力を強化

　特定の組織や企業を狙い、巧妙な偽装を重ねて送り込まれてくる標的型攻撃は、表沙汰になりにくい。このため、どのような手だてが有効なのかも分かりにくい。

　「昔の攻撃メールは、日本語ではない変なフォントを使っていたり、『てにをは』がおかしかったりと、見た目だけで判断することも可能だった。しかし最近は、こうした単純な偽装メールは減っている。関係者しか参加していないメーリングリストのやり取りを把握しているかのような攻撃メールを送ってきたりする」（川崎氏）。

　もちろん、一定の対策は可能だ。メールのヘッダーに表示される「From」欄をきちんと確認するだけでも、怪しいメールの判別に役立つ。また例えば「MTA側のフィルタやSPFなどの仕組みによって、いくらかはすり抜けてしまうが、ある程度攻撃メールは防御できる。もう1つの対策はデスクトップPC側でパッチを当て、アンチウイルスを導入し、定期的にアップデートをするといったものだ」（川崎氏）。

　ただ、こうした技術的な対策はいろいろあるのに対し、「『人』に対する対策はあまりなかった」（川崎氏）。予防接種は、この部分を体験学習によって強化するものだ。

　人の目を養うことができれば、短時間のうちに攻撃を見破り、対処することも可能になる。

　川崎氏によると、予防接種を実施した結果、ビジネスマナー的には当たり前ではあるが、かなりのユーザーは受信後短時間のうちにメールを開いてしまうことが分かった。具体的には最初の10分で3分の1が、30分で約半数がメールを開いてしまったという。つまり、「怪しいメールが届いても、それを上長に報告し、しかるべき手順に基づいて社内に警告していては間に合わない可能性が高い」（同氏）。

　ITセキュリティ予防接種を通じて、標的型攻撃がどういったものかを体験することで、「一人一人が偽装を見抜く眼力を養いたい」（川崎氏）。