標的型メール演習で使用するURLリンクはどうするか?
標的型メール演習の実施に興味を持たれる企業様が最も実施を希望される演習の形式、それは、メール本文中のURLをクリックしてしまうことで、偽のウェブサイトに誘導されてしまう、フィッシングメールタイプの演習です。
このタイプで課題となるのが、メール本文中に記載するURLをどうするか?ということ。
従業員に如何にURLをクリックさせるか?を考えると、従業員の誰もが知っている有名なサイトのURL(例えばFacebookのURLなど)をメール本文中に記載し、そのURLをクリックしたら、演習用の偽のウェブサイトが表示されてしまう。という形にしたい。ということから、標的型攻撃メール対応訓練実施キットを使うと、どんなURLが使えるのか?といったご質問をいただくことがあります。
URLでWebサイトが表示される仕組み
URLをクリックしたらWebサイトが表示される仕組みについては、標的型メール演習の実施を考える上では、必須の知識として知っておく必要があります。
インターネットにおいては、パソコンとサーバーのデータのやり取りはIPアドレスを元に行われていますが、数字の羅列となるIPアドレスでは覚えにくいということがあり、IPアドレスを人が覚えやすい名前に変換する仕組みとして、DNS(ドメインネームサービス)が登場しました。
このDNSがあることで、私たちはwww.yahoo.co.jpなどのドメイン名を使ってWebサイトにアクセスすることができるわけです。
IPアドレスとドメイン名の紐付けは、分散されたDNSサーバ上で行われています
例えば、http:///www.yahoo.co.jp/とWebブラウザに打ち込んだら、YAHOOのサイトにアクセスしますが、これは、www.yahoo.co.jpというドメイン名を、DNSサーバがIPアドレスに変換し、自分のパソコンと、DNSサーバが変換したIPアドレスが割り当てられているサーバーとの間で通信が行われることによって実現されています。
つまり、人の目にはwww.yahoo.co.jpというドメイン名を呼び出しているように見えますが、実際には、www.yahoo.co.jpに設定されているIPアドレスを持つサーバーに対してリクエストを行い、相手側のサーバー(YAHOOのサーバ)からデータを返してもらうことで、YAHOOのWebサイトが表示される。という形になります。
ここで重要となるのが、www.yahoo.co.jpに設定されているIPアドレスが、YAHOOのサーバーのIPアドレスであることを誰が保証するのか?ということです。
世界中のどこからアクセスしても、www.yahoo.co.jpとタイプすれば、YAHOOのサーバーのIPアドレスにアクセスできるのは、誰かがそうなることを保証しているからで、これを実現しているのが、DNSサーバーの仕組みです。
世界中には無数のIPアドレスとドメイン名が存在しますので、1台のコンピュータですべてを処理していたら到底処理しきれません。そこで、個々のドメイン名とIPアドレスの組み合わせについては、分散されたDNSサーバー上で管理するようにすることで、世界中のコンピュータからのアクセスにも耐えうる環境を作り出しています。
ドメイン名によって、Webサイトが表示される仕組み
つまり、インターネット上には、www.yahoo.co.jpというドメイン名に設定されているIPアドレスは何か?を管理している特定のDNSサーバーが存在し、私たちのパソコンは、このDNSサーバーに対し、www.yahoo.co.jpのIPアドレスは何か?を尋ねることで、YAHOOのサーバーのIPアドレスを教えてもらっている。という流れとなります。
-
【www.yahoo.co.jpのWebサイトにアクセスするまでの流れ】
- 自分のパソコンが、www.yahoo.co.jpに割り当てられたIPアドレスを管理しているDNSサーバーはどこにあるか?を、自分のパソコンが参照しているDNSサーバーに聞きに行く。
- 自分のパソコンが参照しているDNSサーバーが、www.yahoo.co.jpに割り当てられたIPアドレスを管理しているDNSサーバーのIPアドレスを返す。
- 自分のパソコンが、www.yahoo.co.jpに割り当てられたIPアドレスを管理しているDNSサーバーに対し、www.yahoo.co.jpに割り当てられたIPアドレスを聞きに行く。
- www.yahoo.co.jpに割り当てられたIPアドレスを管理しているDNSサーバーが、www.yahoo.co.jpに割り当てられたIPアドレスを返す。
- 自分のパソコンが、www.yahoo.co.jpに割り当てられたIPアドレスを持つWebサーバーに対し、www.yahoo.co.jpのコンテンツをリクエストする。
- www.yahoo.co.jpに割り当てられたIPアドレスを持つWebサーバーが、www.yahoo.co.jpのコンテンツを返却する。
- www.yahoo.co.jpに割り当てられたIPアドレスを持つWebサーバーから返却されたデータ(HTMLデータ)に基づいて、www.yahoo.co.jpのWebページをWebブラウザ上に表示する。
↓
↓
↓
↓
↓
↓
自分のパソコンが参照しているDNSサーバーが嘘をつくと・・・
自分のパソコンがドメイン名を使ってWebサイトにアクセスするには、上記の流れにある通り、自分のパソコンが参照しているDNSサーバーに、アクセス先となるドメイン名に割り当てられているIPアドレスを管理しているDNSサーバーはどこにあるのか?(IPアドレスは何か?)をまず聞きに行くことになります。
この時、自分のパソコンが参照しているDNSサーバが、嘘のDNSサーバーのIPアドレスを返してきたらどうなるでしょうか?
実際のDNSサーバーとは全く異なる、別のDNSサーバーのIPアドレスが返ってきたとしても、自分のパソコンはそれが嘘かどうかを判別する術を持っていませんので、迷うことなく、教えられたDNSサーバーにアクセスし、ドメイン名に割り当てられているIPアドレスは何か?を尋ねてしまいます。
そして、嘘のDNSサーバーが、実際のIPアドレスとは異なる、嘘のWebサーバーのIPアドレスを返却してきたら、自分のパソコンはこれも疑うことなく信じてしまい、そのIPアドレスにアクセスすることになります。
こうして、私たちのパソコンは、フィッシングサイトに誘導されてしまうというわけです。
この「自分のパソコンが参照しているDNSサーバーに嘘をつかせる」という事象を発生させる手口が「DNSキャッシュポイズニング」です。
自社でDNSサーバーを管理しているなら、あえて嘘をつかせる方法もあります
「DNSキャッシュポイズニング」は、外部からの攻撃によって、ターゲットとするDNSサーバーが嘘をついてしまうようにすることですが、自社でDNSサーバーを管理しているなら、「DNSキャッシュポイズニング」などしなくとも、自分でDNSサーバーの設定を変えて、あえて嘘をつくようにしてしまえば、どのようなドメイン名を使おうとも、自分が意図するサイトに誘導することができます。
自社のパソコンが参照しているDNSサーバーに、「www.yahoo.co.jpのIPアドレスは、自社で管理しているWebサーバのIPアドレスである」と設定してしまえば、自社のパソコンからwww.yahoo.co.jpにアクセスしたら、自社のWebサーバに誘導されてしまうという状況にすることができる。というわけです。
このようにすれば、標的型メール演習で使う本文に、どのようなドメイン名を記載しようとも、自社で用意した教育用のコンテンツサイトに誘導してしまう。といったことが可能になります。
自社ではDNSサーバーは管理していない場合はどうするか?
しかし、自社でDNSサーバーを管理していない場合はどうすればいいでしょうか?
このような場合は、自社の力ではDNSサーバーに嘘をつかせることはできませんので、使いたいドメイン名を管理している会社の管理者にお願いするしかありません。
ドメイン名とIPアドレスの変換はDNSサーバーによって行われていますので、DNSサーバーの設定を変更する以外の方法、例えば、標的型攻撃メール対応訓練実施キットを使えば、どうにかできるのか?というと、それは不可能です。
DNSサーバーの設定を変えない限りは、任意のドメイン名に対して、誘導先となるWebサーバーのIPアドレスを割り当てるといったことはできませんので、標的型メール演習で使用するメール本文に記載したURLをクリックしたら、任意のWebサイトのアクセスするようにしたい。というのであれば、DNSサーバーの設定を変更できることが必須の条件ということになります。
-
【使用を希望するドメイン名で、指定のWebサイトにアクセスさせたい場合の選択肢】
- 自社のパソコンが参照しているDNSサーバーの設定を変更する。(自社でDNSサーバーを変更可能である場合のみ)
- 使用を希望するドメイン名の管理者に、DNSサーバーの設定変更をお願いする。
- 使用を希望するドメイン名が、誰も取得していないドメイン名であるなら、自社でそのドメイン名を取得して、DNSサーバーを設定する。
現実的な解としては・・・
標的型メールの演習用に、有名なサイトのドメイン名を使いたいというのは、よくある要望です。有名なサイトであれば、誰も怪しいとは思わないので、クリックしやすいからです。
例えば、ネットバンクのフィッシングメールに対する予防訓練として、銀行からのメールを装う場合は、誰もが知っている銀行のドメイン名を使いたいというのは、自然なことでしょう。
しかし、有名な銀行のドメイン名をクリックしたら、偽のWebサイトに誘導するようにできるか?というと、さすがに、当の銀行にお願いしてDNSサーバーの設定を変更してもらう。ということはまず不可能です。
また、自社で管理しているDNSサーバーがあれば、その設定を変えることで実現するという方法もありますが、当の銀行の許可もなく、演習のためとはいえ、勝手にドメイン名を使うようなことは、ビジネスモラルとして好ましいことではありません。
技術的に可能かどうか以前に、実存するドメイン名を使うというのは、そのドメイン名が自社で管理しているドメイン名でない限りは、基本的にはNGであると考えるべきでしょう。
実存しないドメイン名であれば、自社で管理しているDNSサーバーに設定して使うということもできますが、今時は大抵のドメイン名は誰かが取得済みですから、演習用に使えそうで、且つ、実存しないドメイン名というのは、そう簡単には見つからないでしょう。
結局、現実的な解としては、自社で管理しているドメインか、現時点で取得可能なドメイン、または、他社が保有しているドメイン名を借りるかのいずれかということにならざるを得ないのが現実です。
どうしても有名なドメイン名を使いたいなら・・・
標的型メール演習においては、URLをクリックしたからといって、必ずしも偽のWebサイトに誘導する必要はありません。
メール本文中のURLをクリックしてしまったかどうかを確認できればよいのであれば、社内の各パソコンがどのURLにアクセスしたのか?をログとして記録するアクセス監視の仕組みを、社内ネットワークに導入しておけば、クリックしたユーザが誰か?をログから解析するという方法が考えられます。
この場合は、URLリンクがニュースサイトへの参照となっているなど、演習用のメールの本文に記載されているリンクが、実際のサイトの内容と一致する内容のものとなっていれば何の問題もありません。
ビジネスモラルとして問題となるのは、「他社が管理しているドメイン名を勝手に使う」ということであるので、メール本文などを工夫することにより、勝手に使っていると解釈されてしまわないような形にできれば、有名なドメイン名であっても、使えないことはない。ということです。
どうしても有名なドメイン名を使いたいというのでしたら、メール本文を工夫するなど、アイデア次第では、やってやれないことはないかとは思います。
結局のところ、メール本文をどのように工夫するか?です。
標的型メールでわかりやすいのは、有名なドメイン名を使う方法ですが、意外に、自社ドメイン名を使う方法も有効です。
誰もが知っている有名なドメイン名でなければ、誰もクリックしようとしないから標的型メール演習はできない。とか、社内のアドレスでは演習にならない。と考えるのは早計です。
記載されているURLが怪しいと思うかどうかは、メール本文の前後の脈絡に依ります。
記載されているURLや差出人名、また、メール本文が、妥当であると思ってしまうような内容が書かれていたら、読み手は「あ~そうなんだ~」として、何の疑問も差し挟まなくなったりするものです。
URLだけを見ると怪しいと思ったとしても、メール本文の書き方によっては、怪しいと感じさせないようにすることも不可能ではないのです。
例えば、社内で行われている極秘プロジェクトの内容を示すようなメール本文だったら、URLが何であったとしても、「極秘だからこういったURLを使っているんだろう」として納得してしまう。といったことはあり得るでしょう。
こうした心理の隙を突いてくるのが、標的型メールなのです。
こうしたことから、誰もが知っている有名なドメイン名にこだわることなく、自社ドメイン名など、自社で保有しているドメイン名を使って演習用のメールを組み立てるのは、演習のやりやすさから言っても、お薦めの方法と言えます。
→次の記事へ( HTMLメールの形式で標的型メール演習を行う場合の注意点 )
標的型メール訓練をPDCFAサイクルとして実施するためのイロハをまとめています。訓練実施が初めてという方は是非ご一読下さい。
