高難易度の標的型攻撃メールを見極めることは不可能。なんていうのは嘘
いろいろなサイトを見ていると、時折、「どんなに教育や訓練を行ったとしても、標的型攻撃メールを確実に見抜くことは不可能」といった趣旨の記事を見かけることがあります。
このサイトでは何度も繰り返し言っているのですが、メールの作りが巧妙な、いわゆる
「高難易度」な標的型攻撃メール
であっても、見極めることが不可能。などということはありません。
教育や訓練をすれば、高難易度のメールであっても見極めることは十分可能です。こうしたことが不可能だといわれるのは、うっかりミスや注意散漫など、人に起因する「ヒューマンエラー」が発生することを完全にゼロにすることが難しいためです。
「ヒューマンエラー」が発生するのは、教育や訓練だけの問題ではありません。職場の環境やワークフローの在り方など、セキュリティに関するリテラシーとは全く関係のない要因も影響します。
こうした要因とセキュリティ教育を整理することなくごっちゃにして、「だから訓練なんてやっても意味がない」と言うのは間違っていると思いますし、「高難易度のメールを見極めることは不可能です」などと言うのも、正しくないと思います。
本来こうしたことをきちんと説くべきセキュリティベンダーでさえ、「高難易度の標的型攻撃メールを見極めることは不可能です」などと言っていたりするのを見かけると、とても残念に思います。
ウィルスに感染させるにはプログラムを実行させることが必要。という事実を知ろう
マルウェアに感染した。とよく言われますが、それは一体どういう状態なのでしょうか?
答えを聞けば「ああ、そうか」なのですが、マルウェアに感染した。というのは、対象のコンピュータ上でマルウェアプログラムが動いている。つまり、対象のコンピュータ上でマルウェアプログラムが
実行されている。
ということです。プログラムが実行されているということは、プログラムを実行させる「きっかけ」が必要で、逆に言えば、きっかけがなければマルウェアプログラムは実行されず、マルウェアに感染することもない。ということです。
標的型攻撃メールは魔法のメールではありません。
どんなに高難易度な標的型攻撃メールであろうと、マルウェアプログラムが実行される「きっかけ」がなければ、攻撃が成功することはありません。
そして、ここが大事な点なのですが、プログラムが実行される「きっかけ」を作るのは、
標的型攻撃メールを受け取った人の行動
だということです。これは裏を返すと、私たちがマルウェアプログラムが実行される「きっかけ」となるような行動を取ったりしなければ、マルウェアに感染することは防げるということでもあります。
自分が何をやっているのかわかっていないから、攻撃者の罠にひっかかる
「高難易度の標的型攻撃メールを見極めることは不可能です」という主張の多くは、
・高難易度のメールに使われている本文は実際の業務で使われているものを盗み出したもので、
変な言い回しなどないから、偽物と見破るのは難しい。
・添付されているファイルも、まだ世に対策方法が出回っていない「ゼロデイ」を利用したもの
だったりするから、ウィルス対策ソフトでも検知できない。
といった理由を論拠に、見破ることは不可能だ。と主張します。
しかし、高難易度と言われる標的型攻撃メールに添付されているのは、拡張子がexeなど、プログラムの拡張子を持ったもので、標的型攻撃メールに騙される人は、こうしたプログラムのファイルの拡張子を目にしながら、それがプログラムだとわからずに開いているから、マルウェアに感染してしまう。という事実はきちんと認識すべきです。
拡張子がexeとなっているファイルを実際に目にしながら、それと気づかずにダブルクリックしてしまうのは、メールが巧妙に作られている高難易度の標的型メールだからでしょうか?
というと、それは違いますよね。だって、ファイルの拡張子がexeになっているのを目にしているのに、あえて本人がダブルクリックしてしまうのですから、これはもう、気づくことができなかった。という話ではありません。
見極めることが不可能だからマルウェアに感染してしまうのではなく、
自分が開こうとしているファイルが何かわかっていないから感染してしまう。
というのが、実際なのです。
じゃあ、Webサイトを見ただけでマルウェアに感染するっていうのはどういうこと?
これを読んでいる方の中には、プログラムを実行しなくても、Webサイトを見ただけでマルウェアに感染する。って話があるじゃないか。あれはどうなんだ?と思う方もいらっしゃるかもしれません。
Webサイトを見ただけでマルウェアに感染するというと、プログラムも何も実行されていないと思われるかもしれませんが、実際には、Webページに埋め込まれたプログラムが実行されています。
WebサイトのデータをWebブラウザで読み込んだ際に、データの中にプログラムを実行する記述があり、それが自動的に実行されることで、マルウェアに感染するという流れです。
WebブラウザがWebサイトのデータを読み込んで勝手にプログラムを実行してしまうので、それを止めることは難しかったりするのですが、防ぐ方法は無いわけではありません。
そもそも、マルウェアが埋め込まれたページにアクセスするようなことはしない、Flashなどのプラグインは常に適切な状態にしておくなど、やれることは幾つもあります。
セキュリティに関する知識についてきちんと学習し、やれることをやってさえいれば防げることも多いのに、そうしたことを全くしていない。そんな人たちほど、標的型攻撃メールによる被害に遭った際に「作りが巧妙だったので見破れなかった」などと言います。
しかし実態は、
自分が何をやっているかわかっていなかったからマルウェアに感染させられた。
ということだったりするのです。
「知らないことは罪である。知ろうとしないことはもっと深い罪である」
とは、誰が言った言葉かは知りませんが、標的型メールに関していえば、
「知ろうとさせないことは更なる罪である」
という言葉を付け加えたいと思います。
標的型攻撃メールによる被害に遭うことを防ぎたいなら、「高難易度のメールは見極めることが不可能」などという言葉を聞いて思考停止に陥ったりせずに、従業員全員に正しい知識を「知ってもらう」ということに努力を払うべきだと思います。
→次の記事へ( シーサートをうまく機能させるには、従業員全員の理解があってこそ )
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。
