標的型メールは見抜くことが難しい。は誤りです

URLリンクをメール本文に記載して訓練を実施する

メール本文中にURLリンクを記載し、このリンクをクリックさせようとする方法は、模擬のマルウェアファイルを添付する方法とは異なりますが、マスコミでも取り上げられることの多い「水飲み場攻撃」や「フィッシング詐欺」などで使われる手法です。

インターネットバンキングのログインIDとパスワードが盗まれて、不正送金が行われる被害が増えていますが、インターネットバンキングの被害については、法人の場合は補償がされません

つまり、被害に遭ったと届け出たとしても、盗られたお金は戻らず、泣き寝入りするしかない。ということです。

2014年5月15日の毎日新聞の記事では、法人向けについても補償の検討を始める動きが伝えられていますが、業務でインターネットバンキングを利用されているような場合は注意が必要です。

URLリンクを使う場合の模擬訓練実施の仕組み

標的型攻撃メールの演習にURLリンクを使う場合は、リンクをクリックすることでWebサイトに飛ぶことになるので、Webサーバ側に教育用のコンテンツを用意し、それが表示されるようにすればよいということになります。

「フィッシング詐欺」の手口などを再現し、実際に体験してもらうというアイデアもありますが、メール内のリンクをクリックした時点で、既に攻撃に引っかかっていると言えるので、準備の手間などを考えると、そこまでは手の込んだことはやらないというのが一般的かと思います。

ただ、法人を狙った不正送金の犯罪は増えているということなので、教育用コンテンツの中でフィッシングサイトかどうかについての見分け方を例示し、サンプルとなる画面を表示するようにしてもよいかとは思います。

ちなみにURLリンクをクリックさせる方法なら、用意すればよいのはメール本文とWebサイトだけでよく、模擬のマルウェアプログラムは作成しなくてよいので、準備作業はやりやすいというメリットがあります。

なお、開封者を特定する仕組みとしては、URLの記録を使う、Cookie情報を使う、アクセスログに記録されたIPアドレスなどの情報を使うといった方法が考えられますが、いずれにしても、Webサーバ側の設定が必要になり、Webサーバの管理者との連携が必要になります。

URLリンクを使う場合の開封者情報特定の仕組み

URLリンクをクリックしたユーザが誰か?を特定するには、そのユーザを特定する情報をどのようにして取得するか?が課題になります。

このための方法は2つあります。

  1. ユーザを特定する情報をURLに含める
  2. アクセス元のコンピュータの情報からユーザを特定する
1.は、URL自体にユーザを特定するキーとなる情報を含めておき、クリックされたURLがわかれば、ユーザが一意に特定できるようにする。という方法です。この場合、メールをHTML形式のメールとすることができるのであれば、メール本文に記載するURLは見かけ上のURLとしておき、ユーザ情報を含めた実際のURLをリンク先として設定しておくということができます。

HTML形式のメールとすることができない場合は、メール本文に記載するURLと実際のリンク先を別にすることができないので、ユーザ情報を含めたURLをそのまま記載することになります。

2.は、WebサーバにアクセスがあったIPアドレスの情報から、そのIPアドレスを使用しているコンピュータを割り出し、そのコンピュータを使用しているユーザを、URLをクリックしたユーザとして特定する。という方法です。

1.はURL自体にユーザを特定する情報が含まれているので、どのコンピュータからクリックされたとしても、ユーザを特定することができます。しかし、URLの情報が別のユーザに転送されてしまうということもあり得るため、そのURLをクリックするのは、必ずしもそのユーザであるとは限らないという欠点もあります。

2.は、IPアドレスからアクセス元のコンピュータを辿ってユーザを特定する方法ですが、プロクシーサーバ経由でWebサーバにアクセスするなど、IPアドレスを一意に特定することができない環境では、この方法を使用することができません。

しかし、社内に閉じた環境で演習を実施するなど、IPアドレスを一意に特定できる環境であれば、Webサーバにアクセスのあったタイミングでそのコンピュータを使用していたのは誰か?を特定することはできるので、1.の方法のように、実際には全く別の人がURLをクリックしていたというようなことは避けることができます。

Webサーバ側で取得した開封者情報をどのようにして収集するか?

URLリンククリック方式の場合は、開封者の情報はWebサーバ側で取得することになりますので、Webサーバ側で取得した開封者情報をどのようにして回収するか?が課題になります。

よくある手法は、WebサーバのログにURLやIPアドレスが記録されますので、そのログをWebサーバから取り出し、分析に必要な部分を切り出して解析を行うという方法です。

この方法だと、解析に必要な情報はWebサーバ標準の機能を用いて取得することができるので、別途専用のプログラムを用意する必要がないというメリットがあります。しかしながら、Webサーバからアクセスログを取り出し、解析に必要な部分だけを切り出して加工する手間は発生してしまうため、Webサーバの管理者でないと作業ができないという制限があります。

Webサーバをレンタルしているような場合は、アクセスログを取り出すといったことができないようになっているケースもありますので、そのような場合は、この方法を選択することができないことになります。

もう一つの方法は、URLのクリックによって呼び出されるページをプログラムにしておき、プログラム処理によって解析等を行ってしまうという方法です。

この場合は、プログラムによって自由に処理を行うことになりますので、データの加工や解析はプログラムに任せてしまうということができます。この時、プログラムが行う処理は以下の2つです。

1.ユーザに返すWebページデータの生成
2.アクセスのあったユーザ情報の解析

ちなみに、「標的型攻撃メール対応訓練実施キット」では、URLに含まれたユーザを特定するためのキー情報と、アクセス元のコンピュータのIPアドレスの両方を取得し、「開封者情報」として、指定のメールアドレス宛にメールを送付する処理を行うプログラムをご提供しています。

訓練実施担当者様は、このプログラムをWebサーバにアップロードし、URLをクリックしたらこのプログラムが動くよう設定していただければ、exe実行ファイル添付型での訓練実施と同様にして、開封者情報集計ツールを使って、開封者情報の集計を行うことができるようにしています。

具体的な設定方法については、こちらの記事で垣間見ることができます。ご興味があれば、ご覧になってみてください。

←前の記事へ(
→次の記事へ(
サブコンテンツ