標的型メールは見抜くことが難しい。は誤りです

Wordのセキュリティ警告を回避し、標的型メール訓練を実施する方法

Word文書を添付する形式の標的型メール訓練実施において厄介な課題は、メールに添付されたWord文書を開く際に、Wordがセキュリティ警告のメッセージを表示することでしょう。

Webビーコンの警告表示

セキュリティ警告が表示される仕組み、説明できますか?

Wordがセキュリティ警告を表示する・しないは、Officeがどのような時に保護ビューの機能を有効にするか?によって決まります。

セキュリティ警告が表示される仕組みWordの「保護ビュー」とは、言ってみれば、自分のパソコンの中にバーチャルなパソコン環境を生成し、その中で開いた文書ファイルを閲覧する機能で、文書ファイルが万一ウィルスに感染していたとしても、バーチャルなパソコン環境上で開いている分には、自分のパソコンには影響が及ばないというメリットがあります。

「保護ビュー」が適用される条件は幾つかありますが、その中の一つに「安全でない場所から開かれるファイルは、常に保護ビューで開かれる」というものがあります。

インターネットからダウンロードしたファイルや、メールに添付されているファイルは「一時保存場所」と呼ばれるフォルダに格納されます。

Microsoft Officeのデフォルトの設定では、この「一時保存場所」は安全でない場所として設定されているため、OutLookやWindows LiveMailなど、この「一時保存場所」にファイルを格納するメールソフトでは、必ず保護ビューが機能することになります。

セキュリティ警告の文言には、ウィルスに感染している可能性がある様なことが書かれていますが、実際には文書の中身はチェックしていないため、ウィルスなど全く含まれていない空のWord文書であっても、一律に同じ文言が表示されます。

訓練実施において、セキュリティ警告は回避できる?できない?

保護ビューの表示は回避できる?Wordにおいてセキュリティ警告が表示された場合、「編集を有効にする」ボタンを押さなければ、Webサイトへのアクセスは発生せず、結果としてWebサーバのアクセスログに添付ファイルが開かれた記録が残りません。

これはすなわち、添付ファイルを開いた人が誰か?を確認することができないということになり、訓練を実施しても結果が得られないということになってしまいます。

では、セキュリティ警告を表示させない方法はあるのでしょうか?というと、残念ながら、その方法はありません。

正確に言えばあるのですが、外部からのコントロールによってセキュリティ警告を外すことはできないので、ここでは、その方法はないとしています。

保護ビューの機能は無効にすることはできないのか?

Officeのセキュリティ設定では、「一時保存場所」を安全でない場所とみなさないようにするオプションが用意されています。

保護ビューの設定オプション

「インターネットから取得したファイルに対して、保護ビューを有効にする」の設定をオフにすると、「一時保存場所」から開くファイルに対して、保護ビューは適用されなくなるため、セキュリティ警告は表示されません。

この設定によって警告が表示されることは回避できますが、インターネットから取得した全てのファイルについて警告が表示されなくなってしまうため、このオプションを外してしまうことは非常にリスキーだと言えます。

ユーザの中には、警告が表示されるのが煩わしいとして、あえてオプションをオフにしてしまっている人がいるかもしれませんが、このようなケースは、会社のパソコンを危険な状態に晒してしまっていると言えます。

逆に、保護ビューの機能が有効にならないケースもあります

Officeが、安全でない場所と認識しているフォルダからファイルを開く場合は、保護ビューの機能が有効になるわけですが、逆に言えば、それ以外の場所から開かれる場合は、保護ビューの機能は有効にならないということになります。

メールに添付されているファイルをパソコン上の別のフォルダにコピーし、そこから開く場合は、保護ビューの機能は有効になりません。

また、使っているメールソフト(Thunderbirdなど)が独自のフォルダに添付ファイルを格納するような場合も、Officeからすると、「一時保存場所」ではない場所からファイルを開いていることになるので、この場合も保護ビューの機能が有効になりません。

保護ビューの機能が有効になるようなパソコン環境の組織では、セキュリティ警告を回避する方法はありませんが、保護ビューの機能が有効にならないような組織では、セキュリティ警告は表示されないので、Word文書を使った訓練は有効と言えます。

添付ファイルを開かないよう注意することばかりが訓練ではありません

セキュリティ警告が表示されるかどうかは、現在使用しているパソコンの環境に大きく依存するため、セキュリティ警告が表示される環境である場合、標的型メール訓練を実施するための選択肢としては、以下のようなことが考えられるかと思います。

  1. 訓練メールの文面を工夫し、「編集を有効にする」ボタンを押させるよう仕向ける。
  2. 訓練を実施する間だけ、保護ビューの機能を無効にする。
  3. 添付ファイルにWord文書を使わない訓練を実施する。

訓練実施のためとはいえ、一時的にセキュリティ設定を弱めることは非常にリスキーなので、2.は論外でしょう。

1.は一見すると、あまり意味が無いようにも思えますが、自ら保護ビューを無効にしているユーザがいる可能性や、セキュリティに関する知識に乏しいユーザがいる可能性を考えると、あながち意味が無いとも言い切れません。

セキュリティ対策に従事する方は知識があるので、こんなものにひっかかるユーザなど居るわけがないと、ついつい思い込んでしまいがちですが、そのような思い込みから、セキュリティに関する知識に乏しいユーザの存在を見逃してしまうことは、セキュリティ対策を行う上で非常に危険なことです。

3.に関しては、これはどの企業様にもお奨めしたいことなのですが、標的型メール攻撃の手口は、Word文書を添付するものだけではありません。なので、Word文書を添付する形式の訓練ばかり実施するのは、従業員教育という観点からは片手落ちです。様々な標的型攻撃メールの手口について体験し、知っておくことは、従業員の意識を高めるためにも、是非やっておくべきと考えます。

しかし、上記はいずれも、メールに添付されたファイルを開くかどうか?に主眼が置かれた選択肢であり、ここに主眼を置いてしまうと、本質を外れた訓練となってしまいかねません。

ここで言う「本質」とは、Wordの保護ビューが表示されるのは何故か?という仕組みを理解することであり、この理解がおろそかにされたままでは、保護ビューが表示される仕組みを逆手に取った攻撃を行われたらひとたまりもありません。

標的型メール訓練の本来あるべき姿とは?

Wordの保護ビューが表示されてしまうから、ウチではWord文書を使った訓練は実施できないな。と単純に考えてしまうのは間違いです。

もしあなた自身、Wordの保護ビューが表示される仕組みを正確に説明することができなかったのであれば、他の従業員の方も恐らくは同様でしょう。Wordの保護ビューが表示されることをあえて体験させて、何故そうなるのか?をきちんと説明し、覚えてもらうようにする。これも立派な訓練実施方法の一つです。

多くの方は、標的型メール訓練の実施というと、添付ファイルを開いてしまうかどうか?また、URLリンクをクリックしてしまうかどうか?ばかりに観点を置いてしまいがちですが、添付ファイルを開いたりしないからOK。といった表面的なことに目を向けるのではなく、攻撃者の手口を理解し、攻撃者が繰り出してくる攻撃の手法を回避する方法として、

私たちが使うことができる防衛手段にはどのようなものがあるのか?
また、どうしたらそれらの手段を効果的に使うことができるのか?

を正しく理解し、従業員の誰もがこれらの手段を活用できるようにすることこそ、訓練実施の本来あるべき姿と言えるのではないでしょうか?

あなたが今、訓練実施について具体的な検討を進められていて、現在、業者からの提案を受けていらっしゃるなら、今実施しようとしている訓練は、こうした観点に立って考えられているものなのかどうか?また、従業員に本質を伝えることができるものであるのかどうか?を考えてみていただければと思います。

しっかりした業者ならば、こうした疑問に対して明確な回答や考えを示してくれるはずですが、雨後の筍のように登場している業者の中には、単に技術的に「できる」というだけでサービスを提供しているケースもあるようですので、標的型メール訓練を実施している業者なのだから、きっと専門家なのだろうとは思わないほうが良いです。

手前味噌にはなりますが、自前での標的型メール訓練を可能にする「標的型攻撃メール対応訓練実施キット」は、自前で実施するがゆえに、自由に訓練の内容を組み立てることができることが大きな特長の一つです。

添付ファイルの開封率を低減させることばかりを目的とするのではなく、様々な切り口と様々な方法による訓練の実施を通じて、セキュリティ対策の本質を従業員に繰り返し伝えていく。これを行うことこそが、標的型メール訓練のあるべき姿だと弊社では考えています。