企業を狙った攻撃メールはルール無用のガチ勝負、担当者との知恵比べだ
標的型メール訓練実施に関心を持つ企業も増えてきたけれど・・・
昨今、標的型メール訓練に関心を寄せる企業が段々と増えてきていることを実感しています。
標的型メール訓練の実施を推奨する立場としては、とても良いことだと思っていますが、同時に、標的型メール訓練に関する「無知」「無関心」「誤解」「思い込み」といったものも、まだまだ多いなと感じます。
例えば、「自社のメールアドレスを使ったのでは訓練にならない」という誤解。
担当者のメールアドレスで訓練メールを送ったのでは、訓練であるとバレてしまうので訓練にならない。というのがその理由だと思うのですが、これは、いかにも訓練メールだというようなメールを送るからそうなるだけであって、担当者のメールアドレス名で訓練メールを送ることが原因ではありません。
実際の攻撃では、その会社の社員を装った攻撃メールも存在しますし、社内のパソコンの1台がウィルスに感染することによって、社内のアドレスに対して攻撃メールがばらまかれる。ということだってありえます。
自社のメールアドレスが攻撃に使われるケースは幾らでもありえるということです。
にも拘らず、「自社のメールアドレスを使ったのでは訓練にならない」と考え、フリーメールアドレスばかりを使った訓練を実施していたのでは、攻撃メールというのは、フリーメールアドレスで送られてくるメールであると、従業員にミスリードさせてしまう可能性が生じます。
もし、あなたが、標的型メールってフリーメールアドレスを使って送ってくるものなんでしょ。と思っているとしたら、それは、過去にフリーメールアドレスを使ったスパムメールを受け取った経験からきているのかもしれませんが、この際、そうした固定観念は全て捨て去ることをお勧めします。
相手はリスクを冒して攻撃をしてくるのですから、ルールなどお構いなしです
インターネットの世界では、地理的要因に左右されずに攻撃ができるので、リアルな犯罪よりは摘発される可能性が低いですが、それでもリスクが全くないわけではありません。
攻撃者はリスクを冒して攻撃を仕掛ける以上、本気で攻撃を成功させようとしますから、使える手はなんでも使ってきます。ルールなどお構いなしです。
それこそ、「訓練を装った本物の攻撃」だってありえるのです。
にも拘らず、「自社のメールアドレスを使ったのでは訓練にならない」とか、「今時フリーメールを使ったメールなんて誰も開かない」といった思い込みをして、そうした訓練を実施することをしない、また、そうした攻撃メールがあり得ることを従業員教育の中で伝えることをしなかったら、その裏をかいた攻撃にまんまと騙されてしまう。ということが起こってしまうかもしれません。
攻撃メールはルール無用のガチ勝負。だからこそ、訓練実施担当者はあらゆる思い込みを捨て、考えうる可能性のすべてに対して、対抗する手立てを考え、必要とされる従業員教育すべきです。
考えうる可能性のすべて。とは何か?
では、考えうる可能性のすべて。とは何でしょうか?
このように質問されて、困惑してしまう方もいるかもしれません。特に、セキュリティ対策は外注業者にすべて任せている。という方の中には、何も思いつかない。という方もいらっしゃるかもしれません。
攻撃者の手口を全く知らない、また、思いつかない。ということは、どのような攻撃が行われるのか、全く想像がつかないということであり、また、社内にどのようなウィークポイントがあるのかもわからない。ということでもあります。
このような状況では、どのような対策が必要なのかもわかりませんし、また、業者から提案される対策の良し悪しも判断できません。
お付き合いされている業者が心ある業者であればまだしも、売らんかな主義の業者で、大した専門知識も持っていなかったら、大して役にも立たない高価なセキュリティ対策機器を納入されるかもしれません。
大して役にも立たない機器が納入されているのに、「これだけ高価な機器を導入しているのだからウチの対策は万全だろう」などと思っているとしたら、これはもう、おめでたいとしか言いようがありません。
ここまで極端ではないにしても、うちは入口・出口対策をやっているから大丈夫だ。と思っている担当者の方は実際にいたりしますから、笑い話ではありません。
もし、あなたが、ウチはそんなことないよ。ちゃんと対策しているから。と言われるのでしたら、以下についての対策はできているのかどうか、確認してみて下さい。もし、そんなの知らなかった。というのでしたら、御社の対策にはまだまだ穴がある可能性が十分にある。と考えた方が良いと思います。
【遠隔操作ウイルスの制御にDNSプロトコルを使用する事案への注意喚起】
http://www.lac.co.jp/security/alert/2016/02/01_alert_01.html
攻撃者はルール無用のガチ勝負で攻撃を繰り出してくるのですから、本気で攻撃から身を守りたいのであれば、こちらも本気でその手口の把握に努めるべきです。専門家ほどの知識はなくとも、専門家と話ができ、専門家から提示される提案の良し悪しを判断できるくらいの知識は、せめて身につけておくべきではないかと思います。
→次の記事へ( ウィルスに感染したかも。の後に幾らの対応コストがかかるか把握してますか? )