標的型メールは見抜くことが難しい。は誤りです

開封後の素早い対応が大事。とは言うけれど・・・

[セキュリティマネジメント]

うっかり、見知らぬ相手からのメールの添付ファイルを開いちゃったみたい・・・。

そんな時は一体どうすればよいのか?について、従業員に学んでもらうために標的型メール訓練を行う。昨今はそのような目的で訓練を実施するケースも少なくありませんが、このような場合の対処方法として、

・すぐさま、パソコンに繋がっているLanケーブルを外す。
・システム管理者に連絡する。

といった対応を行うよう教えている組織も多いのではないかと思います。

基本的な対処方法としては間違っていないと思います。しかし、もう一歩踏み込んで、何故そのようにする必要があるのか?とか、また、そのようにした後の対応はどうなるのか?といったことについて、踏み込んで考えるということはされているでしょうか?

もし、数十人の社員が同時に管理者に連絡をしてきたらどうなるでしょう?

社員が十数名くらいの組織なら、どうという事はないかもしれませんが、社員が数百人、数千人の規模の会社だったら、数十人の社員が怪しいメールに引っかかってしまい、代わる代わるシステム管理者に問い合わせの連絡をしてくる。ということもありうるかもしれません。

規模の大きな会社だと、標的型メールやスパムメールの類は日常茶飯事的に送られてくるので、毎日のようにシステム管理者に問い合わせが入るということも珍しくはないと思います。

怪しいメールをうっかり開いてしまう。といったことが、ごくたまにしか起きないというのなら、とにかくLanケーブルを外して管理者に連絡。でも良いかもしれませんが、毎日のように起きるとか、一斉に何人もの社員が管理者に連絡してくる。といった状況になってくると、システム管理者側もさすがに対応しきれなくなってきます。

とにかくLanケーブルを抜いて管理者に連絡しろ!

というのは、対応としては間違いではないものの、連絡を受ける管理者側からすると、

「見知らぬ相手からのメールの添付ファイルを開いちゃったみたいなんですが」

とだけ言われても、具体的にどのようなことが起きたのかがわからないので、とにかく現場に行って調べるしかない。ということになります。

これがたまに発生する事象なら、現場に行って調べることはそれほど苦ではないかもしれませが、あちこちで一斉に問題が発生したり、毎日のようにあちらこちらで調査しなければならないというような状況になると、時間的に対応しきれなくなったり、体力的、精神的にもたないといったことが起こってきます。

せめて、切り分けができるくらいの知識が現場の社員にも欲しい

発生している事象が全て同じならば、1か所を対象に問題解決を図れば、他も同じ方法で対処をすれば良いという事になりますが、必ずしも、発生している事象が全て同じとは限りません。

複数件同時に問題が発生した場合、とにかくLanケーブルを抜いて連絡を!という対処方法だと、発生している事象が全て同じかどうかは個々に調べてみないとわからない。ということになるので、各事案の仔細が把握できるまでに相応の時間がかかることになってしまいます。

しかし、情報漏洩などのリスクを考えれば、対応は一刻一秒を争うわけで、とにかく、一番マズイ状況から優先的に対処しないと、被害を拡大させることに繋がってしまう可能性が考えられます。

そこで大事になってくるのが、現場の社員が、事故対応を行う上で必要となる情報をいち早く収集した上で、管理者に連絡をする。ということです。

例えば、マルウェアでも何でもない、無害なテキストファイルを開いただけ。だったら、慌てて対処する必要はない。ということになります。

こうした事がわかるような情報が管理者側に報告されれば、管理者側も急いで対処が必要な事案ではないと判断ができ、他の事案に時間を割くことができます。

しかし、こうした情報が伝えられず、ただ「怪しいファイルを開いてしまったんですが・・・」とだけ報告されたのでは、影響があるのかないのか?というところから調査を始めざるを得ず、やらなくても良い作業をやる羽目になったり、他にもっとやるべき作業が後回しになってしまったり、といったことが起きうるかもしれません。

そのために大事な判断が遅れ、結果、被害が拡大してしまう結果に繋がってしまったら、もう、目も当てられないというところでしょう。

いち早く管理者に連絡することは大事。でも、管理者が的確に動ける情報を提示することも、とても大事な事です。

社員全員が自分事として問題を収束させるのだ!という意識づけを

マルウェアに感染したかもしれない。という連絡が現場から上がってきた時に厄介なケースの一つは、感染したかもしれないと言ってきた当人が、具体的に何をしたのか覚えておらず、

「なんか変なファイルを開いてしまったみたいなので、慌てて削除しました。」

と言うケースです。

当人がファイルを削除してしまったので、元のファイルが残っておらず、具体的にどんなファイルを開いたのかわからない、また、ファイルを開いた時のパソコンの様子を聞いても、その時当人は慌てていたので、パソコン上でどんな挙動があったのか?についても覚えていない。

つまり、影響範囲を確かめたくとも、具体的に何が起きたのか?が全く分からないので、推察するヒントもない。という厄介な状況になります。

このような場合、ハードディスクをフォレンジックすればいいじゃないか。とか、通信ログを分析すればいいじゃないか。と言う方もいらっしゃるかもしれません。

しかし、現実問題として、フォレンジックなどを専門業者に依頼すれば高額な費用を請求されることになります。何かある度にフォレンジックを!などとやっていたら、とんでもない金額になってしまいます。

企業規模によっては、フォレンジックなど高すぎてとてもお願いできない。というケースもあるでしょう。

被害を防ぐというのは、何も情報漏洩を防ぐという事ばかりではありません。

問題が起きた時の対処にかかる人件費
業者への委託費
問題が起きることによって発生する機会損失
パソコンが使えないことによる業務ロス
社員の疲弊による士気低下

などなど、目に見える損失と、目に見えない損失があります。こうした損失の発生を如何に最小限に抑えるか?

何か起きたら、とにかくシステム担当者に任せればいい。では、損失の発生を最小化することはできません。システム担当者が迅速かつ的確に行動できるよう、現場の社員がアシストする習慣ができていてこそ、被害を最小化することが可能になります。

そのために、現場の社員は普段からどうすればよいのか?これを伝える事も、標的型メール訓練の重要な役割だと考えます。

御社では、そのような習慣づけをするためにできることとして、取り組まれていることはあるでしょうか?

←前の記事へ(
→次の記事へ(
サブコンテンツ

標的型メール訓練なら、標的型攻撃メール対応訓練実施キット!