標的型メールは見抜くことが難しい。は誤りです

Webビーコン方式の訓練実施をサポートしてくれるツールと、この方式の弱点

標的型メール訓練を実施するに際して使われているポピュラーな方法は、Word文書を使った、Webビーコン方式による方法でしょう。JPCERTからは、この方式での訓練実施をサポートしてくれるツールが、無償で提供されています。

無償の代わりにサポートはなく、サンプルプログラムが提供されるだけのシンプルなものですが、プログラムがわかる方なら、自分で改造するなどして、自由に使うことができます。

しかし、技術者がいない場合はどうすればいいのでしょうか?

技術者がいれば問題はありませんが・・・JPCERTから提供されるツールは、簡易なプログラムのコードで、ツールを使うためのドキュメントはあるものの、使うためには、そのプログラムを自分で動かすことができるだけの知識が必要になります。

サポートがない以上、何かトラブルがあっても、自力で解決できるだけの知識があることが前提になるので、基本的には、社内に技術者が居て、協力が得られる状況にあることが必要になります。

システムエンジニアが訓練実施担当である場合は、何ら困ることはないと思いますが、そうではない場合は、何でも自力で解決するというのは、ちょっと難しいかもしれません。

では、エンジニアが社内にいない、もしくは、エンジニアの協力を得るのは難しい、そんな場合はどうすればいいのでしょうか?

Webサーバのアクセスログを解析するのは手間がかかります

技術者の協力なしにアクセスログの解析をするのは難しいJPCERTのツールでは、Webサーバのアクセスログを解析し、誰がいつ、添付ファイルを開封したか?を集計するためのツールは提供されません。これは、どのWebサーバを使うかは組織によって千差万別で有り、アクセスログのフォーマットも無数にあるためでしょう。

なので、アクセスログを解析する作業については、ツールの用意も含め、全て自力でどうにかする必要があります。

しかし、Webサーバのアクセスログを解析するというのは少し厄介です。なぜなら、アクセスログに記録されるのは、誰がいつ添付ファイルを開いたか?を表すログ情報だけではないからです。

他のページへのアクセスも情報として記録されますし、その他にも様々な付随情報が記録されます。訓練実施専用のWebサーバを用意するのではなく、既に公開されているWebサーバの一部を間借りして行うのであれば、膨大なログデータの中から、必要とするデータだけを選り分ける作業が必要になります。

訓練実施専用のWebサーバを用意するにしても、記録されるアクセスログのチューニングを行うのは、やはり、それなりに大変です。どちらにしても、アクセスログが解析できる技量を持った技術者がいないと、分析を行うのは少々難しいかもしれません。

そもそも、アクセスログを取得できないとか、取得できるとしても、様々な理由で開示してもらえないといった事情があると、解析自体行うことができないという問題もあります。

Word文書ファイルを使った訓練の弱点とは?

Word文書を添付ファイルに使った標的型メール訓練の実施はポピュラーな方法ですが、Microsoft社によるセキュリティ対策が進んだ結果、今では、メールに添付されたWord文書にインターネット上のファイルへのリンクが含まれている場合、Word文書を開いた際に、セキュリティ警告が表示されるようになっています。

Webビーコンの警告表示

これは、ZoneiDという、Windows XP Service Pack 2より導入された仕組みで、インターネット・ゾーンからダウンロードしたファイルには、インターネットからダウンロードしたデータであることを示すZoneIDが付加されます。

WordはこのZoneIDを認識して、セキュリティ警告を表示するというわけです。訓練メールにWord文書を添付しても、添付ファイルが開かれた時点でこの警告が表示されてしまうのでは、見た人は不安に感じて「保護ビュー」のままにしておくことを選択するでしょう。

「保護ビュー」のままにした場合は、Webサーバへのアクセスが発生しないので、誰がいつ添付ファイルを開いたのか?が記録されません。このため、折角訓練を実施しても、結果が得られない。という厄介な課題に直面することになります。

セキュリティ警告の表示を回避する方法はないのでしょうか?

Word文書を添付する以外に、標的型メール訓練を実施する方法セキュリティ警告が表示されることがなく、Webサーバへのアクセスが無条件で発生すれば、訓練は問題なく実施することができますが、こうしたことはできるのでしょうか?

また、Word文書を添付する形式以外に、訓練を実施する方法はないのでしょうか?

次のページでは、「Wordのセキュリティ警告を回避し、標的型メール訓練を実施する方法」についてご紹介します。