第8話 訓練メールを送信しよう
模擬のマルウェアファイルを作成し、訓練メールの本文を用意したら、いよいよ訓練メールの送信です。とはいっても、訓練対象者が何百名、何千名ともなる場合は、どのようにすればよいでしょうか?ここでは、訓練メールを送信するための具体的な方法についてご案内します。
訓練メールを送信する前に考えるべきことがあります。
訓練メールの送付対象がそう多くなければ、ちょっと面倒でも手作業で送るというのも一つの方法ですが、3ケタを超えてくると、さすがに手作業で頑張ろうという気力も続かないと思います。
そうなると、方法としてはメーリングリストやツール、また、メール配信のASPなどを使うということになるかと思いますが、その前に、考えないといけないことがあります。それは、メール送信者のアドレスを何にするか?ということです。
メール送信者のアドレスを何にするかによっては、メール本文の内容にも影響するため、メール送信者のアドレスを何にするか?ということは、訓練メールを用意する前に確定しておくべきかもしれません。
メール送信者のアドレスを何にするか?が何故重要なのか?というと、アドレスによってはメールを送ることができない、また、訓練対象者が受信することができないことがあるためです。
現在のメールサーバはどこもセキュリティ対策が進んでいるため、送信元のアドレスを厳密にチェックしていたり、特定のドメイン名からのメールは受信しないよう設定しているケースは多々あります。プライベートでも、様々なメールが受信ボックスに届かずにゴミ箱に直行していた。というケースは往々にして目にされているのではないかと思います。
メール送信者のアドレスを折角決めても、そのアドレスでメールを送ることができなかったり、メールを送ることができたとしても、訓練対象者の受信ボックスに届かないのであれば、訓練は失敗に終わってしまいます。このため、メール送信者のアドレスを何にするか?は、以下のポイントを考慮する必要があるということになります。
- 利用可能なメールサーバで送ることができるアドレス名として何が使えるか?
- 受信用のメールサーバが受け取りを拒否するアドレス名はあるか?
- 受信用のメールサーバが、受信はするものの、迷惑メールとして処理してしまうアドレス名はあるか?
- 受信用のメールサーバでは、他にどのようなセキュリティチェックを行っているか?
この場合、システムに合わせて送信者のメールアドレスを考えるのか?それとも、送信者のメールアドレスありきで考えるのか?で、対応が分かれてきます。
送信者のメールアドレスありきで考える場合、現状使えるメール送信サーバではそのアドレスが使えないということであれば、メールサーバを独自に用意するということが必要になります。メールサーバを独自に用意する場合は、メールの送信ヘッダなども自由に設定できることになるので、かなり凝ったことができますが、独自に用意したメールサーバが、他のメールサーバから怪しいメールサーバだと認識されないようにする必要もありますので、場合によっては、DNSサーバの設定や、受信用メールサーバの設定も合わせて行わないといけないなどの調整事項が出てきます。
メールサーバの環境は組織によってだいぶ異なりますので、まずは、自組織のメールサーバ環境がどのようになっているか?を確認することが必要な作業の第一歩になります。
なお、本格的にメールサーバを用意するとなると大変ですが、制約があまりないようであれば、「BlackJumboDog」など、クライアントPC上で動作する簡易SMTPサーバソフトを使用するのも一つの選択肢です。設定が簡単で、且つ、手元のパソコン上で動作するので、テスト的に行う訓練などで重宝します。簡易といっても立派なメール送信サーバなので、訓練のように、さっと実施して、さっと撤収するようなケースでは、本格的なサーバを用意するよりも、断然手間のかからないこちらの方法のほうが現実的な選択となりうるケースは多いかもしれません。
自分でメールサーバを用意することが難しいような場合は、利用可能なシステムに合わせて送信者のメールアドレスを考えるしか有りませんが、標的型攻撃メールのバリエーションは無数にありますので、利用可能なシステムに合わせるしかないという制約があったとしても、アイデア次第でやりようは幾らでも有るかと思います。
メール送信ツールはどうするか?
送信者のメールアドレスが確定したら、メールの送信方法をどうするか?ですが、これは、個別に訓練メールを送信しなければならないのか?それとも、全員に同じ内容の訓練メールを送信すれば良いのか?で違ってきます。
Webビーコン方式のように、訓練対象者別に添付すべき模擬のマルウェアファイルがある、もしくは、メール本文の内容を個別に変えなければならないという場合は、一斉同報ができないので、メール送信用のツールを使うか、ASPサービスを利用するかのどちらかになりますが、使い勝手を考えると、ツールを使うという選択をされるケースの方が多いかもしれません。
ツールについては、市販のメール一括送信ツールを購入して利用するという選択もありますが、ExcelやVB.NETなどを使って自分で作るという方法もあります。ちなみに「標的型攻撃メール対応訓練実施キット」では、Excelを使ったメール送信ツールをご提供しています。
Webビーコン方式であれば、「個別のWebビーコンを作成⇒Webビーコンを埋め込んだWordファイルを作成⇒Zipで圧縮⇒訓練メールに添付して送信⇒個別のWebビーコンをサーバにアップロード」といった一連の流れを、ExcelやWordのVBAで自動化するといった例が考えられます。訓練は1度実施して終わり。というものではないので、こうしたツールを作っておくと、後々楽ができて良いと思います。
メール送信のリミッターと、訓練対象者にメールが届くタイミングに注意しましょう
昨今のメールサーバでは、SPAMメールの送信防止や、メールサーバに負荷がかかるのを防止するため、1分あたりに送信できるメールの数や、1日トータルで送信できるメールの数を制限しているケースがあります。ツールや市販ソフトを使ってメール送信を行う場合は、このような制限に引っかかってしまうことのないよう、注意する必要があります。
そして、このような制限は、訓練対象者にいつメールが届けられるか?にも関わってくるため、メールの送信に制限がある場合は、その制限を考慮した上で、どのようにメールを送信するか?を考える必要があります。
全組織を対象に訓練を実施するような場合、訓練メールを最初に受け取った方は、周囲の人にそのことを話すはずです。この時、周りの人に訓練メールが届くタイミングが間の悪いものであったりすると、既に訓練メールだとバレてしまっているので、意図した効果を得ることが難しくなってしまう恐れがあります。
訓練メールを送信するに際しては、メールサーバ側の制限なども考慮しながら、誰にどのようなタイミングでメールが届くようにするのか?を考え、適切と思われる順番でメールを送るようにすることが肝要です。場合によっては、複数台のメールサーバを使ってメールを送ることも検討した方がよいかもしれません。
例えば、1秒に1通づつしか送れないとすると、300人に送るのに5分はかかることになります。情報が伝わる早さを考えれば、同じ部署内でメールが届くタイミングが5分も違えば、訓練の実施結果に影響が及ぶことも十分考えられます。そうなると、訓練メールを送信する順番も、単純にABCのアルファベット順で送るのではなしに、部署ごとにまとめて送るようにした方が良いかもしれない。という話も出てくるというわけです。
送信先アドレスリストの入手も結構大事です
訓練対象者の規模が小さい場合は特に考慮しなくても良いかもしれませんが、組織規模が大きくなり、従業員の入れ替わりが激しいようなケースでは、送信先アドレスリストをいつのタイミングで入手するか?も考慮のポイントになってきます。
折角訓練を実施するのに、訓練メールが届かない方が出たり、アドレスが無効になっていてエラーとして戻ってきてしまうケースが沢山あったり。というのでは、あまりよろしくありませんので、送信先アドレスの流動性に拠っては、送信アドレスリストの入手から訓練メール送信までの作業の段取りをきちんと決めておく必要があります。
また、前述のとおり、メールを送信するにはそれなりの時間が必要になります。訓練メールを受信するタイミングがさして違わないよう、部署ごとにメールを送るということであれば、所属部署名とアドレスの紐付けが必要になります。さらに、所属フロアや座席も考慮してとなると、その情報も必要になります。
メールアドレスと所属部署名、座席などの情報はバラバラに管理されているケースは多いと思いますので、これを紐付けようとすると、一筋縄ではいかないこともあると思います。こうした課題をどうするか?について、訓練実施の計画段階で決めておくかどうかで、訓練の実施結果も変わってくることになります。
訓練実施前に必ず通しでのテストを行いましょう
複数の拠点を対象に訓練を実施する場合など、使用しているネットワークやパソコンの環境が異なるケースが混在しているような場合は、それらの環境ごとに、訓練メールが問題なく届き、模擬のマルウェアファイルを開くことができるかどうかを確認しておくのが無難です。
万一、意図しない問題が発生するようであれば、対処のための時間も必要になりますので、訓練実施の計画を立てる際は、その分のバッファも取っておく事が必要です。事前確認を行わずにいきなり訓練を実施し、問題が発生すると、現場は混乱してしまう恐れもあります。場合によっては業務に支障が出てしまうかもしれません。
不幸にしてこのような事態になってしまうと、訓練などもうやるべきでないといった否定的な意見も出てきかねません。そのようなわけで、事前テストを含めた準備作業については、念には念を入れて行っておくことをお薦めします。
訓練実施前にはキーマンに事前の根回しをやっておく
訓練実施をアナウンスしないでやる場合はもちろん、訓練を実施すると前もってアナウンスするにしても、各部署の部長など、キーマンとなる方には、事前に根回しをしておくことをお薦めします。訓練を実施すると、多かれ少なかれ、不満に思う方は出てくるものです。
たまたま急ぎの仕事に追われているタイミングで訓練メールが届いたりしたら、虫の居所が悪ければ文句の一つも言いたくなるかもしれません。このような時、キーマンとなる方が防波堤になってとりなしてくれれば、訓練実施担当者はクレーム処理に追われずに済むことになります。
セキュリティも大事ですが、組織に所属する各人が喜んで協力してくれる雰囲気を作ることも大事なことです。ちょっとしたことかもしれませんが、訓練実施を通して、こうしたコミュニケションを積み重ねていくことも、訓練実施の目的の一つと考えていただくと良いかと思います。
→次の記事へ( 訓練メールで、偽装したメールアドレスを使うには? )