標的型メールは見抜くことが難しい。は誤りです

「巧妙なメール」という言葉で思考停止するのは、もうやめにしませんか?

年金機構の情報漏えい事件であれだけ世間が騒いだにもかかわらず、その1年後に、また同じような事件が起きて、再び世間を騒がせることになったことは、何ともできすぎという気がしないでもないですが、標的型攻撃メールの被害に遭った企業の多くが、

「受信したメールは極めて巧妙な内容であり、見分けることは難しかった」

といった趣旨の言葉を口にします。そう言わざるを得ない大人の事情はあるものの、聞く側の方も、

「巧妙な内容じゃあ、被害に遭ってもしょうがないよね」

的な解釈をし、「標的型攻撃メールでは巧妙な内容のメールが使われるから、見抜くことは難しく、被害に遭うのはやむを得ない。」といった趣旨で話を展開しているのを多く見かけるのですが、このような論調を見ると、

「巧妙な内容」というNGワードで
思考停止してるだけなんじゃないの?

と思わざるを得ません。

見抜くことは難しい。のウソ

「巧妙な内容」「ごく普通のメール」「見抜くのは難しい」

こうした言葉を聞くと、「ああ、そうなのか」と、つい思ってしまいがちですが、果たして本当にそうなのでしょうか?

日本年金機構の件も、iJTBの件も、マルウェアの感染に使われたのは、偽装されたexeファイルだったそうです。ということは、ファイルの拡張子には「exe」という文字列があった。ということになります。

巧妙な内容であれ、ごく普通のメールであれ、添付ファイルの拡張子は「exe」となっていた。であるならば、拡張子をちゃんと見ていれば、開いてはいけないファイルかもしれない。と気付けたのではないでしょうか?

もしそうなら、マルウェアに感染したのは、メールの内容が巧妙で見抜くことが難しかったから。ということではなく、単に

拡張子まで含めてちゃんと「見ていなかった」か、
拡張子を確認することを「知らなかった」か

のどちらかだった。ということになるのではないでしょうか。

「見抜くことは難しい」などと言われれば、「そうなのか」と思うかもしれませんが、「見抜くことが難しい」という言葉の意味するところが、

「(メールの本文を読んで、標的型メールかどうかを)見抜くことが難しい」

ということであるなら、メールの本文を読んで判断しようとすること自体が大間違いで、そんな間違った方法で標的型メールかどうかを見分けようとすることそのものが馬鹿げていると言わざるを得ません。

「不審なメール」の意味するところを取り違えるなかれ

怪しいメールかどうか、一目しただけでは判断できるものではなかった。

というのも、標的型攻撃メールの被害に遭った企業の多くが口にする言い訳の一つですが、そもそも、メールの本文を見て、不審かどうかを判断しようとすること自体が間違いです。

メールの本文自体は、ソーシャルエンジニアリングの手法として、メールの読み手がマルウェアを実行してしまうきっかけ作りに寄与することはあっても、マルウェアを実行させること自体には関与しないので、マルウェアとの関連性は全くありません。

だから、マルウェアと全く関係のないメール本文を見て、標的型攻撃メールかどうかを判断しようとするのは、お門違いもいいところなのです。

昨今、多くの企業が標的型メール訓練を実施していますが、もし、訓練の内容が、メールの本文を見て、怪しいメールかどうかを見分ける。というもので、本文が「ちょっと怪しい」内容の標的型攻撃メールっぽい訓練メールを送って、従業員がそれを開かなければ、「よしよし、よく見分けた」などと言って喜んでいるようなら、それは単なる

「訓練ごっこ」

でしかありません。

「不審なメール」とは、メールの本文が「不審」ということではなく、PDFファイルに偽装したexeファイルが添付されているなど、

本来のメールならありえないようなものがメールに添付されていたり、
本来なら送られてくるはずのないところからメールが送られてきている。

といった、本来ならありえない点があるというのが、「不審なメール」の意味するところであり、標的型メール訓練の実施においては、従業員にそれを教え、誰もが習慣として、そうしたことに気付けるようにすることこそが、訓練を行うことの意義であることを、訓練実施担当者は正しく認識すべきだと思います。

「巧妙なメール」という言葉で思考停止するのは、もうやめよう

標的型攻撃メールは魔法ではありません。攻撃対象者のパソコンをマルウェアに感染させるには、メールの受信者に相応の手順を踏ませることが必要です。

例えばマルウェアを実行させるには、exeファイルなど、特定の拡張子を持つファイルを開かせなければならない。といったことはその一例です。

こうした攻撃者側の打ち手を理解していれば、その打ち手のポイントとなる部分をしっかり確認することで、その手段で攻撃を仕掛けてきているのかどうかを察知することができます。

ファイルの拡張子がexeでないかどうかを確認することは、まさにそうした確認ポイントの一つです。

確かにメールの本文は「巧妙なメール」かもしれませんが、どんなに巧妙な内容のメールだろうと、添付されたファイルの拡張子を見て、PDFデータなのに拡張子がexeになっているなど、本来あり得ない拡張子が使われているとわかれば、「不審なメール」であると、ちゃんと気付くことができるはずです。

「巧妙なメール」などという言葉を使うのは思考を停止させるだけです。そんな言葉に納得し、標的型攻撃メールは「見抜くことができないものである」などと思ってはいけません。

見るべきところを見れば、

標的型攻撃メールは「見抜くことができる」し、
「不審なメールかもしれない」と気づくことができるのです。

こうしたことがわかっている人から見れば、「内容が巧妙だったので・・・」などと言っている会社は、「自社はスキルレベルが低い会社なんです」って言っているようなものだ。と感じます。

それがもし、あなたの会社のお客様なら、「こんな会社には任せられない」として離れていくかもしれません。実際、そうしたことが発生しているケースを見聞きしたことがある方もいらっしゃると思います。

あなたがの会社がそのようなことにならないために。

思考停止ワードに踊らされることなく、今できることを、しっかりやっていきましょう。

←前の記事へ(
→次の記事へ(
サブコンテンツ