標的型メールは見抜くことが難しい。は誤りです

訓練メールで、偽装したメールアドレスを使うには?

標的型攻撃メールを送ってくる攻撃者の目的は「狙った相手を騙す」こと。だから、標的型攻撃メール対策の訓練では、訓練対象者が騙されやすい差出人アドレスを使いたい。というのは、訓練実施担当者なら誰しも思うことでしょう。では、騙されやすいアドレス、いわゆる「偽装したメールアドレス」を使うにはどうすればいいでしょうか?

差出人アドレスとして考えられるものを考えてみる

「偽装したメールアドレス」はどうすれば使えるのか?について考える前に、そもそも、訓練メールに使う差出人アドレスとしてはどんなものが考えられるでしょうか?ちょっと考えて思いつくものとしては、以下のようなものが挙げられるかと思います。

  1. マイクロソフトやトレンドマイクロなどの有名な企業のアドレス
  2. 自社取引先のアドレス
  3. GmailやYahooメールなどのフリーメールのアドレス
  4. docomoなどの携帯電話のアドレス
  5. 自社ドメインのアドレス
  6. 自社で保有している他のドメインのアドレス
  7. 実在しない架空のドメインのアドレス

1.や2.については、訓練メールにリアリティが出ることから、訓練に使いたい!と思う方もいらっしゃると思いますが、1.と2.については、絶対に使ってはいけません。これは、インターネットがコントロールの全く利かない世界だから。というのが理由です。

また、訓練とはいえ、他社に自社のアドレスを使われるのは気分の良いものではない。という心情的な理由もあります。断り無しに勝手に使われたりするのであればもはや論外でしょう。

例え社内に閉じた形で訓練を実施したとしても、インターネットに繋がる環境があれば、訓練で使用されたメールや情報は外に出て行くことが可能です。訓練対象者の誰かが、「こんなメールが来たよ~」とTweetなどしようものなら、あっという間に情報が拡散していく可能性があります。

伝言ゲームではありませんが、情報が伝播していくうちに、元の情報とは全く異なる情報となってしまうということはよくあることです。昨今であればバカッターの存在も無視できません。

「こんなメールが来たよ~」という話が、拡散していくうちに、「XX社からウィルスが送られてるんだって!」などという話にでもなろうものならもう大変です。全国的に名の通った会社になれば、マスコミにも取り上げられて手がつけられなくなる状態になってしまうかもしれません。

もっとも、ここまで話が大きくならないにしても、ただ訓練をやりたかっただけなのに、訴訟問題などに発展したりするのはさすがに望まないと思います。このようなリスクが考えられる以上、実在する組織や団体、人物のアドレスを使うようなことは絶対にしないことです。

メールサーバのセキュリティ対策事情について知っておく

実在する組織や団体、人物のアドレスを使うことは避けるべき。となると、では、他にどのようなアドレスが使えるでしょうか?ということになるわけですが、その前に、昨今のメールサーバのセキュリティ対策事情について知っておく必要があります。

ご存じの通り、メールは様々なメールサーバを経由して私達の元に届きます。そして、迷惑メールや標的型攻撃メールがますます増えている現在では、多くのメールサーバがセキュリティ対策を講じています。主な対策としては以下のようなものがあります。

  1. メール送信時に認証を行い、許可されたアドレスでしかメールを送れないようにする
  2. メールボックスにアクセスできる人しかメールを送れないようにする
  3. 特定のIPアドレスからしかメール送れないようにする
  4. 特定のIPアドレスを持つメールサーバからのメールしか受信しないようにする
  5. 特定のアドレス・ドメインからのメールは受信しないようにする
  6. メール送信元のIPアドレスと、送信元のドメイン名が使用しているメールサーバのIPアドレスが一致しない場合は受信を拒否する
  7. 他のメールサーバからのメールを、他のメールサーバに中継することをしない

メールを郵便物に例えれば、郵便局員は何を届けて、何を届けないか?を、郵便局(メールサーバ)ごとに決めている。ということになります。

郵便局によって、配送を行ってくれる物と行ってくれない物がある。ということですから、送りたい物、つまりここでは「特定の差出人名」の郵便物ということになるわけですが、これが配送を受け付けてくれない条件に合致してしまったら、相手に送ることができないというわけです。

このため、訓練を実施するに際しては、以下を確認することが必要になります。

  1. あなたが使うことができるメールサーバには何があり、
    そのメールサーバではどのようなセキュリティ対策が行われているか?
    つまり、どのようなメールなら送ることができるのか?
  2. 訓練対象者のメール受信サーバではどのようなセキュリティ対策が行われているか?
    つまり、どのようなメールなら受信するのか?
    逆に言えば、どのようなメールは受け取りを拒否されるのか?

メールを送る方に関しては、自分でメールサーバを用意することで、どんなアドレスを使ったメールでも送るということはできますが、メールを受信する側が受け取りを拒否したらそれまでです。

メールサーバの運用ルールを変えることができるのはメールサーバの管理者だけなので、自分が管理者ではないメールサーバについては、そのメールサーバの運用ルールに従うしか有りません。つまり、偽装したアドレスを使いたいと思っても、メールサーバの運用ルールに抵触してしまうようなら、使うことはできないというわけです。

訓練用のドメインを取得しておくという手もあります

以上のように、メールサーバの運用ルールを考えると、勝手なアドレス(ドメイン名)を使ってメールを送るのは結構難しい。というのがご理解いただけると思います。このようなことを考えると、無難にメールを送るためには、以下のような選択肢に絞られてくるということになります。
 

  1. 訓練用の社内メールアドレスを用意し、社内でメールを送信する。
  2. フリーメールアドレスを使い、一般の人からのメールを装った訓練メールを送信する。
  3. 訓練用に自社でドメインを取得し、そのドメイン名を使って訓練メールを送信する。
  4. 業者に委託し、業者が使えるアドレス名にて訓練メールを送信する。
  5. 自社で訓練メール送信用のメールサーバを用意し、訓練対象者のメールボックスがあるメールサーバでは、訓練用サーバからのメールはどのようなものでも受信するよう設定する。

5.が可能である場合はかなり自由度が高くなりますが、手間などを考えると、1.や2.の選択肢がお手頃ということになります。

フリーメールアドレスの場合は警戒されやすいので、1.を選択し、社内のシステム管理者や、社内のメーリングリストアドレスを送信元アドレスとして使うというのが、最も無難なところかもしれません。

標的型攻撃メールが社外から送られてくることを考えると、社内でメールを送信するのは現実的でないようにも思われるかもしれませんが、実際、システム管理者など、社内の人物を騙る例はありますし、また、訓練メールに騙されてしまうような方は、どこから送られてきたメールであるか?など、そもそもわからない。というケースが大半なので、実のところ、細かいことはあまり気にする必要がなかったりします。

しかし、社内のアドレスではなく、やはり社外のアドレスを使いたい。という場合は、3.の方法が結構狙い目です。ドメイン名の種類は今や豊富にありますし、維持費も年間数百円~数千円で済みますから、たいした出費ではありません。

レンタルサーバ代も今は安いですから、メールを送るだけなら、訓練実施の時だけ一時的に契約し、訓練実施後は速やかに解約して、ドメイン名だけキープするようにすれば、安い物を選べば500円以下で済ませることも可能です。

3.の方法は正規の手続きを踏んでドメイン名を取得し、正規の方法でメールを送るという方法なので、メールサーバの運用ルールに抵触してメールが送れないといったことは避けることができます。もっとも、一度使うと、再度使うことは難しいかもしれないという話はありますが、高くてもせいぜい数千円程度なら、その時限りの「捨てドメイン」として割り切るという考え方もできるかと思います。

メールアドレスを偽装するには?

「標的型攻撃メール対応訓練実施キット」について、よくいただく質問に、「メールアドレスを偽装することはできますか?」というものがありますが、メールアドレスの偽装はツールでできるかどうかよりも、メールを送信するサーバと、受信するサーバの双方が、それに対応しているかどうか?に大きく依存します。

逆に言えば、メールを送信するサーバと、受信するサーバの双方で、訓練で使いたいアドレスの配送ができるようになっているのであれば、メールを送るツール自体は普通のメールソフトでもよかったりします。

さすがにメールのヘッダに手を加えたいとなると、自分でツールを作るなどの対応が必要になるかもしれませんが、果たして、そこまでやる必要があるのか?というのは、組織によって一考の余地はあるかと思います。

自社の従業員は、それっぽいメールでも簡単にひっかかってしまいそうなのか?それとも、メールヘッダなどまで含めて、かなり手の込んだ偽装をしないと簡単にはひっかかってくれないのか?前者なら、あまり細かいところは気にしないでよいと思いますし、後者のレベルにあるような組織なら、実施すべき訓練の内容や方法そのものが、前者とは全く違うものになってくるはずです。

訓練を実施するというと、メールアドレスを偽装しないと訓練にならないのでは?と考えてしまいがちですが、必ずしもそうとは限らないのです。

←前の記事へ(
→次の記事へ(
サブコンテンツ