第6話 訓練メールの形式を考えよう
訓練の方式を考えたら、次は、実際に送付する訓練メールの形式をどうするか?です。
ご存じの通り、標的型攻撃の手口は様々です。相手を騙すことが目的なので、およそ考えられる限りのあらゆる方法を使ってきます。まさにアイデア勝負と言えます。それだけに、訓練メールの形式をどうするか?は悩ましい問題です。ここでもやはり脳みそに汗をかく必要があります。
自組織の従業員はどのようなタイプに弱いかを考える
標的型攻撃で使われるメールのタイプは本当に色々です。ざっと挙げただけでも以下のようなものがあります。頭をひねって考えれば、他にもあるかもしれません。組み合わせを考えれば、それこそ無限と言っていいほどのパターンが考えられます。ありがちなパターンのメールを使って1回訓練をしただけで、標的型攻撃について知った気になってはいけません。
<標的型攻撃で使われる手法>
1.実行ファイル添付型
⇒メールに添付されたマルウェアプログラムを実行させようとする手法
2.ショートカットファイル添付型
⇒マルウェアに感染させるためのスクリプトを仕込んだ、Windowsのショートカットファイルをダブルクリックさせようとする手法
3.Wordファイル添付型(マクロ添付型)
⇒マルウェアプログラムが仕込まれたWord文書やExcelファイルなどをメールに添付し、ファイルを開かせようとする手法
4.サイト誘導型
⇒マルウェアに感染させるためのWebサイトに誘導しようとする手法
5.やり取り型
⇒何回かのメールのやり取りを実際に行い、相手が信用した頃合いを見計らって、マルウェアに感染させるためのサイトに誘導したり、マルウェアプログラムを仕込んだ添付ファイルを開かせようとする手法
6.インストール便乗型
⇒知名度があるなど、怪しいとは気づきにくいソフトウェアをインストールさせるのに便乗して、マルウェアに感染させる手法
<標的型攻撃で騙られるメール送信者の例>
1.社内システムの管理者
2.経営者(社長・取締役)
3.お客様
4.取引先
5.実在する従業員
6.就職希望者
7.ボランティア、慈善団体
8.著名人
9.公的機関(政府機関や警察、役所など)
10.マスコミ
<標的型攻撃で騙られるメールの内容の例>
1.重要なシステム更新を促す通知
2.業務連絡
3.商品やサービスへの問い合わせ
4.クレーム
5.ボランティアへの協力依頼
6.採用への応募、問い合わせ
7.内輪ネタ
8.告発、リークネタ
9.サプライズネタ
10.公的機関からの連絡
どうでしょうか?以上のパターンを単純計算しただけでも600通りの形式があることになります。メール内に登場させる人物像や、本文の文体・雰囲気などのバリエーション、メールに添付するファイルの種類やファイルの名称を変えるだけで、同じパターンでも全く違った印象のメールになることを考えれば、標的型攻撃の手口は無数に考えられることが容易に想像できるかと思います。
そして、考えていただきたいのですが、パターンの組み合わせによっては、従業員が引っかかりやすいと思われるものが恐らくは一つや二つはあるかと思います。例えば、お客様サポート窓口の担当者であれば、お客様を騙り、クレームを装って添付ファイル付きのメールを送ってきたら、読まずに捨てるというわけにもいかないかと思います。
このように、自組織においてウィークポイントだと思われる部分を書き出し、そこにフォーカスしてメールの形式を考えるようにすると、訓練メールの形式や内容について様々なアイデアが出てくるかと思います。KJ法やブレーンストーミングなどによってアイデアを出し合うのも良いと思います。
組織横断の実行委員会を立ち上げ、そこで参加者全員が一緒になって脳に汗をかき、アイデアを結集させていくプロセスは、参加者同士の連帯感を生みだし、これが後々、組織全体を挙げてセキュリティ対策に取り組んでいく雰囲気を作り上げていく礎となるはずです。実行委員会を立ち上げる狙いは、こうしたところにもあるのです。
→次の記事へ( 第7話 訓練メールに添付する、模擬のマルウェアファイルを作ろう )