あっきー
2020年7月30日5 分
こんにちは、エンジニアのあっきーです。
最近、フィッシングメールに騙されて送金被害にあってしまった、グループ会社で被害にあったことを聞いた、偽メールを開いてしまう社員が多い、今後もしかしたら被害にあうのではないかと心配になっている経営者やIT担当者の方は多いのではないでしょうか?
そこで、本記事では、社員のセキュリティ意識を高める標的型メール攻撃訓練についてお話ししたいと思います。
標的型メールや標的型攻撃については、ご存じの方は多いかと思いますが、最近の傾向なども含め少しおさらいします。
標的型メールというのは、簡単に言ってしまえば、フィッシングメールの一種です。
フィッシングメールは、メールの添付ファイルを開封させたり、本文中のURLをクリックさせて、ウィルスに感染させたり、偽サイトに誘導してログインIDやパスワードを入手したりするメールです。皆さんも一度はこのようなメールを受け取ったことがあるのではないでしょうか?
数年前まではこのようなメールは、商品購入確認やアカウントロック等のような一般的な内容のものを不特定多数に大量に送信するようなやり方がなされていました。しかし、近年では、スピアフィッシングといって取引先に成りすましたりするなどして特定の組織や人をターゲットにした信憑性の高いメールを送るなど手口が巧妙化しています。
攻撃する側もターゲットとなる組織や人の情報を事前に入手し、どういった内容のメールを送ると引っかかりやすいかとうことを研究しているのです。
特にBEC攻撃にご注意を!
標的型メールの中でも、ここ数年で実被害を多く出しているもにBusiness Email Compromise (BEC)というものがあります。BEC攻撃は、スピアフィッシング同様、CEO、社員、取引先等に成りすまし、銀行口座への送金を依頼するようなメールを送るのが特徴です。
FBIの 2019 Internet Crime Reportによると、BECによるアメリカでの被害額は、なんと$1.7 billion (約1900億円)となっており、サイバーセキュリティ攻撃の中で最大の被害額となっています。
銀行送金を依頼するような偽メールに騙されるはずがない!と思う方もおられると思いますが、攻撃者は、社員のメールアカウントを乗っ取るなどして、会社のメールを盗み見し、しかも乗っ取ったアカウントから担当者へ偽メールを出すというように、あたかも本人が依頼しているかのようなメールが送られてくる場合もあります。
このように標的型メール攻撃は、メールの見た目はもちろん、手法自体も年々巧妙化してきています。
結論から言うと、防げる場合もあるし、防げない場合もあります。
大量に送られてくるようなメールであったり、添付ファイルやURLリンク先が怪しい場合などシステム側で検知しやすいものは、メールフィルタリングやサンドボックスなどでユーザへ届く前に削除されたり、迷惑メールボックスへ入ったりします。
しかし標的型メールのようにターゲットを絞って、添付ファイルやURLリンクももっともらしいものが送られてくると、どうしてもシステムでの防御をすり抜けてユーザまで届いてしまうことがあります。特にBECの例を考えるとシステム側で防ぐのは難しいですよね。
そこで、我々人間がその偽メールに騙されないということが最後の砦になります。
標的型メール攻撃に対してどうやって社員の意識を上げればよいでしょうか?
セキュリティセミナー、オンライン教育などいろいろな方法があると思いますが、標的型メール攻撃に対しては、シミュレーション訓練を行うことが効果的です。
訓練では以下のようなことを把握したり、確認したりします。
① フィッシングメールを模したメールを社員に送信し、社員がどれくらいの割合で
添付やURLリンクをクリックしたり、返信したりするか把握する。
② 怪しいメールが届いた場合やクリックしてしまった際の社内での連絡プロセス、
業務プロセスを社員が把握し、徹底できているか確認する。
訓練では①が注目されがちですが、BEC攻撃のような送金依頼のメールのようなものを考えると、メールだけで依頼を受けず、本人に電話で確認するというような社内の業務プロセスが徹底されているのかまで訓練の範囲を広げて確認していくことも重要です。
また、社員の意識を効果的に上げるという点では以下のようなことも工夫します。
・クリックした際は、訓練であることや気を付けるべきポイントを表示し、
社員に自分が引っかかりやすいことに気づいてもらう。
・引っかからなかった社員に対しても、種明かしメールを送信し、注意喚起をする。
・何度も引っかかる社員に対しては、教育コンテンツを提供する等の対策を行う。
シミュレーション訓練を繰り返し行うことによって、会社としての標的型メール攻撃に対する人側での対策を強化していくことにつながります。
今回は、標的型メール攻撃訓練についてお話ししました。
最近は、このようなセキュリティ関連の訓練や教育に注目が集まっています。これは、実際に被害にあった企業も増えていますし、取引先などがサプライチェーン内の企業がきちんと対策をとっているのか、社員に対して訓練や教育を提供していないのはリスクとしてとらえる傾向が高まってきているのも一因ではないかと考えています。
IIJ America Incでは、セキュリティに関するご相談、標的型メール攻撃訓練サービスやセキュリティ教育サービスを提供しています。お電話での無料相談も受け付けておりますので、まずはお気軽にWebフォームにてお問い合わせください。