標的型メールは見抜くことが難しい。は誤りです

様々な標的型攻撃メールの手口を再現できる

標的型攻撃メール対応訓練実施キットを使うと、どのような標的型メール訓練ができるのか?そんなご質問をいただくことがよくあります。

標的型メールの手口は色々ありますが、攻撃者の目的は、ターゲットとした相手のパソコンやネットワーク環境に悪意のあるプログラムをインストールさせることにあるので、そのための手口としては、主に以下のようなものがあります。

以下の4つの手口は、キットを使えば再現することができるようにしています。
様々な標的型攻撃メールの手口

キットは1回訓練をやったらそれでオシマイ。というものではありません。

標的型メールによる攻撃は1種類とは限りません。ソーシャルエンジニアリングの手法も組み合わせれば、様々なパターンが考えられます。

また、メールによる攻撃が標的型攻撃というわけでもありません。FacebookやLINEなどのSNSを使って誘導するなど、メール以外の手段を使った方法もあります。

しかし、どのような経路であれ、悪意のあるプログラムをインストール、また、実行させるという点ではたいして変わりはないので、どのようなパターンがあるのか?をきちんと理解しておけば、新たな手口が登場したとしても、経験を活かして身を守ることができるはずです。

標的型メール訓練というと、PDFの脆弱性に関する話題や、Webブラウザ経由でマルウェアに感染するといった話題をネットなどで目にすることから、PDFファイルを使った訓練や、URLリンククリック型の訓練に関心をお持ちのお客様も少なくないのですが、実際の攻撃はそうした手法ばかりが使われるわけではありません。

よくあるケースを使って1回訓練を実施しておけば、他のケースはやらなくても、さすがに皆わかるだろう。と、もし、あなたが考えているとしたら、それは、あなたがセキュリティに関する知識をお持ちだから。

普段、セキュリティのことなど考えていない、ごく普通のユーザは、セキュリティ担当者が思うほどには理解してくれてはいないものです。

従業員全員が、1を言って10を知ってくれれば、これほど楽なことはありませんが、実際には1を言っても1すら理解してもらえないケースも少なくありません。

そんな従業員に理解してもらうための方法は、手を変え品を変え、何度も繰り返し訓練を実施することです。

キットは、標的型メールの様々な手口を知ってもらうことができるよう、また、手を変え品を変えて訓練を実施できるよう、exe実行ファイル添付型をはじめとした、4つの手口を再現できるようにしています。

全く同じ内容の訓練を繰り返しても、既に手の内を知られてしまっている従業員には、「またかよ」と思われるだけです。また、同じ内容では、1度目はひっかけられたとしても、2度目はさすがにひっかからないでしょう。

1回やったらそれでオシマイ。では意味がないから・・・。キットは繰り返し訓練を実施する、また、できるための道具をあなたに提供します。

あなたの会社でも、全てのケースについてテストしてみてください

標的型メール訓練を実施している企業でも、考えうる標的型メールの手口の全てについて訓練を実施しているところは、聞き及んでいる限りは多くありません。

その理由として、「exe実行ファイルなんて誰も開かない」とか、「怪しいURLなんてクリックしない」といった主旨の話を聞くことが多いのですが、たいていの場合、それは実際にテストして確認した結果としての話ではなく、自分や自分の周りにいる人たちがそうだから。とか、過去に受け取ったスパムメールなどから判断してそう思っている。というだけだったりします。

もし、あなたが、標的型メール訓練をやったことがない、もしくは、そんなものやらなくても、ウチはexe実行ファイルなんて誰も開いたりしない。と思っているなら、試しに実際に訓練をやってみてください。

標的型メール訓練実施の目的は、従業員が「標的型メールにひっかからないよう教育すること」だと、あなたが思っているとしたら、それは正しくありません。

標的型メール訓練実施の目的は、知識レベルが一定水準に達していない従業員がいないかどうかを確認し、従業員全員の知識レベルを一定水準以上に保つことにあります。

訓練実施の目的を「標的型メールにひっかからないよう教育すること」に設定してしまうと、標的型メールに100%ひっかからないようにすることなど不可能。だから、訓練を実施するなんていうのは全く意味がない。という考えを持つに至ってしまいます。

この結果、セキュリティ担当者の想定に反して、exe実行ファイルをうっかり開いてしまうような従業員を見逃し、そこが人的なセキュリティホールとなって、攻撃者に付け入るスキを与えてしまう。ということになってしまうかもしれません。

そんなことあるわけない。と思うようなことであっても、それが正確な情報に基づく判断でないのなら、一度はきちんと確認をする。

それこそ、セキュリティ担当者がやるべき仕事ではないでしょうか。

サブコンテンツ