Word文書を添付するタイプの標的型メール訓練 実施方法

doctype

Word文書を添付するタイプの標的型メール訓練とは?

メールにWord文書ファイルが添付されていて、メールを読んだユーザーが、本文の誘い文句に釣られて、つい、その添付ファイルを開いてしまうとウィルスに感染してしまう。

そんなシナリオを再現し、

実際に添付ファイルを開いてしまう従業員がいるのかどうか?
実際に居た場合、誰が添付ファイルを開いてしまったのか?
このようなシナリオにおいて、組織としてどのように対処できるか?

といった訓練を実施するのが、『Word文書を添付するタイプの標的型メール訓練』です。

何故、Word文書などが標的型メールに使われるのか?

Microsoft WordやExcelではマクロを実行することができます。この「マクロ」を悪用し、WordやExcelなどの文書を開いたときに、悪意のあるマクロを実行することによってパソコンを乗っ取るなどすることができるため、標的型メール攻撃の手口として使われます。

このようなことができるのはWord・Excelに限ったことではなく、一般によく使われているPDFや、ジャストシステムの一太郎なども使われます。

また、マクロを使う代わりにプログラムの脆弱性(セキュリティホール)を利用して、悪意のあるプログラムを実行するといった方法も使われたりします。

参考情報:Ascii.jp掲載記事「PDFにまつわるセキュリティの問題とは?」

セキュリティ対策が進んでいる現在では、マクロを直接実行して悪さをするという方法は、流石に成功させることは難しくなっているとはいえ、自分自身で意図的にマクロを実行してしまうよう、言葉巧みに誘導されれば、システムによる対策などは意味を成しませんし、また、ソフトウェアの脆弱性が新たに見つかれば、それを悪用して攻撃を仕掛けてくる可能性は十分あります。実際、2014年3月には、Wordの脆弱性による危険性がマスコミで大きく取り上げられたこともあります。

このようなことから、訓練メールに添付する模擬のマルウェアファイルとして、WordやExcel、また、PDFなどの文書を使い、添付されているファイルを開いてしまったらマルウェアに感染してしまったと見なす。というのが、このタイプにおける訓練実施方法ということになります。

訓練メールに添付されたWord文書が開かれたことを検知する仕組み

Word文書を添付ファイルとして使う場合、文書にマクロ(VBA)を組み込むと、ウィルス対策ソフトが検知してしまう、また、Microsoft Ofiice自体がマクロが実行されることを警告するようになっていますので、添付ファイルを開いたかどうかをマクロによって判定する方法は、マクロの実行が保証されない以上、訓練においては使いづらいという欠点があります。

このため、Word文書ファイルを訓練メールに添付する場合は、マクロなどのプログラムは使わずに、「Webビーコン」と呼ばれる、横1ドット×縦1ドットの画像リンクを文書中に埋め込み、文章自体は通常の業務文書もしくは、標的型攻撃の危険性などについて解説した教育用のコンテンツとします。

横1ドット×縦1ドットの画像リンクを文書中に埋め込む理由は、Microsoft Word自体は、メールに添付されたファイルを開いたのが誰であるか?を第三者に通知する機能は持ち合わせていないためで、ファイルを開いたのが誰であるか?を第三者に通知する仕組みとして、画像リンクを使うためです。

文書中に画像リンクを埋め込んでおくと、ファイルが開かれることによって、その画像リンクに記載されたリンク先の画像データが呼び出されるという動作が発生します。呼び出された先のサーバ側で、この画像データが呼び出されたことを記録することにより、ファイルが開かれたことがわかるということになります。

Webビーコンの仕組み

訓練メールに添付されたWord文書を誰が開いたか?を特定する仕組み

ちなみに、この「画像データが呼び出された」という記録は、文書中に埋め込まれた画像リンクが呼び出されたという記録、つまり、URLリクエストの記録となるため、サーバ側に記録されるのは、どのURLリクエストがあったか?というものになります。

このため、文章中に埋め込む画像リンクを全て同じURLとしてしまうと、文章が開かれることによって画像の呼び出しが行われたことはわかっても、誰がその呼び出しを行ったのか?が特定できません。

この課題を解決する方法は、メールに添付する文書に記載する画像リンクの設定を、全て違うリンクにするということです。

ある画像リンクは、たった一つの文書ファイルからしか呼び出しが行われないことが保証されれば、後は、その文書を誰が持っているのか?さえわかれば、その文書を開いているのはその人しかいない。ということになります。

つまり、訓練メールを送る相手ごとに、個別の画像リンクを埋め込んだ文書ファイルを添付して送れば、どの画像リンクが呼び出されたか?を確認することにより、誰が添付ファイルを開いたのか?がわかるということになります。

これが、訓練メールに添付されたWord文書ファイルを誰が開いたのか?を特定する仕組みとなります。

※最近はマクロを使った手口が改めて使われ出しているということもあるため、警告が表示されてもなお、添付ファイルを開いてしまうような人がいないかどうかを確かめる目的で、あえてマクロを使ったWord文書を訓練で使用するという考えもあります。

どの画像リンクが呼び出されたか?を把握するための仕組みとは?

では、Word文書ファイルに埋め込まれた個別の画像リンクについて、どの画像リンクが呼び出されたか?を把握するにはどうすればよいでしょうか?というと、大きくは2つの方法があります。

  1. アクセス先となるWebサーバのアクセスログ情報から把握する
  2. アクセス先のWebサイトと連動するプログラムによって把握する

キットでは2.の方法を採用しており、Webサーバに設置するプログラムが、キットの付属品として提供されます。

プログラムというと、なにやら難しい物のように思われるかもしれませんが、キットで提供されるプログラムは完成品なので、プログラムの中身は全くわからなくとも問題ありません。キットに付属の手引書に記載に従って設定情報を書き換えたプログラムファイルをWebサーバに置くだけなので、10分もかからずに作業を終えることができます。

Webサーバなんて持ってないよ。というあなたも心配は要りません。

Webサーバというと難しく聞こえますが、今お使いのコンピュータがWindows10などのWindows OSのコンピュータなら、今お使いのパソコンをWebサーバにするソフトウェアが標準で付属しています。もちろん追加コストは不要です。

今お使いのパソコンをWebサーバにする方法については、『Windows10で標的型メール訓練ができるかどうかやってみた』を参照して下さい。

キットに付属のプログラムは、呼び出された画像リンクのURLから、個人を特定するための情報(キーワードとなる文字列)を取り出し、指定の宛先に対してメールで送信する。という処理を行うようになっています。

1.の方法では、Webサーバに記録されるアクセスログの情報を取り出して加工・分析する作業が必要になりますが、キットでは個人を特定するための情報がメールで送られてくる形式なので、アクセスログを加工するといった面倒な作業は必要有りません。

また、キットに付属のプログラムでは、Word文書に表示する画像ファイルも生成してくれるようになっていますので、画像ファイルを用意してWebサーバにアップロードしておくなどといった面倒な作業も必要ない。というメリットがあります。

キットにおいて、誰がURLリンクをクリックしたか?を集計する仕組み

個人を特定するための情報がメールで送られてくるというと、メールを1件ずつ見て、手作業で集計をしないといけないのでは?と思われるかもしれませんが、キットでは、送られてきたメールを一括で処理して集計してくれる便利なツール(開封者情報集計ツール)が付属しています。

開封者情報集計ツールを使えば、メールを1件ずつ手作業で処理するなどということは必要なく、Microsoft Outlookを使っているならマウス操作だけ、Microsoft Outlookを使っていない場合でも、簡単なコピペ作業とマウス操作だけで、誰がURLリンクをクリックしたか?を集計することができます。

『標的型メール訓練サービス』を利用した場合、誰がURLリンクをクリックしたか?を知ることができるのは訓練実施完了後だったりしますが、キットを使った場合なら、訓練を実施しているその場で、リアルタイムに知ることができます。

これなら、訓練実施完了と同時に開封率まで計算できてしまいますので、訓練実施の当日中、もしくは翌日には、訓練の実施結果を社内に公表すると言ったことも十分可能です。

Webビーコンを埋め込んだ添付ファイルの作り方

ちなみに、Webビーコンを埋め込んだWordファイルの作り方は以下の通りです。訓練実施の際は、訓練対象者ごとに画像リンクを設定したファイルを作成することになりますので、訓練対象者数分、以下の作業を繰り返すことになります。

これは対象者数が少ないうちは問題になりませんが、対象者数が数十、数百となってくると、さすがに手作業で行うのは現実的ではなくなってきます。このため、キットでは訓練対象者毎のWebビーコンを埋め込んだWord文書を一括作成できるツール(添付ファイル作成ツール)が付属しており、訓練対象者が何百人・何千人いようと、手間無く文書ファイルが作成できるようになっています。

STEP1 画像リンクを埋め込んだHTMLファイルを作成する。

以下のHTMLコードを適当なhtmlファイル名(例えば、index.html)で保存します。

「画像のURL」の部分は、実際に呼び出す画像リンクのURLを設定して下さい。ちなみに、リンク先となる画像は、大きさも含めてどのようなものでも構いませんが、一般的には、1ドット×1ドットのサイズの画像が使われることが多いようです。

<html>
<head><title></title></head>
<body>
<img src=”画像のURL” width=”1″ height=”1″>
</body>
</html>

STEP2 保存したHTMLファイルをWordで開く

前期の手順で作成したHTMLファイルをWordで開きます。Wordで開くと、文章の末尾に小さな点があることに気づいてください。これが画像リンクを設定したWebビーコンになります。

Webビーコンの表示例

誤ってこれを削除してしまうと、開封者を特定することができなくなってしまいますので、この小さな点については誤って消してしまわないよう、文頭に設定しておきます。

<Webビーコンを設定する上での注意点>
Word2007、Word2010では、Webビーコン画像が埋め込まれたページがディスプレイに表示された時点で、Webサーバへのアクセスが発生します。このため、添付する文章ファイルのページ数が2ページ以上となる場合、Webビーコンを文末に設定してしまうと、2ページ目をディスプレイに表示することがなければWebサーバへのアクセスが発生しないことになり、ファイルを開封したことがわからないことになります。

このことから、Webビーコン画像は必ず文章の1ページ目に設定するようにします。

なお、Word2013では、Webビーコン画像が埋め込まれているページがディスプレイに表示されるかどうかに関係なく、文章ファイルが開かれた時点でWebサーバへのアクセスが発生します。

STEP3 Wordで文章を編集し、通常のWord文章として保存する

後は通常通り、Wordで文章の作成、編集作業を行います。編集が完了したら、Word文章(.docxもしくは.doc)として保存します。これで、訓練メールに添付するWord文書ファイルの作成は完了です。

作成したWord文書ファイルを訓練メールに添付して送付する

訓練対象者毎に、個別のWebビーコンを埋め込んだWord文書ファイルの作成を終えたら、そのファイルを添付した訓練メールを訓練対象者に送付することになります。

しかし、訓練対象者毎に中身の異なる文書ファイルをメールに添付して送付するにはどうすればいいのか?一人一人違う添付ファイルを送らなければならないとなると、Bccを使った一括メール送信の方法は使えませんよね。

従業員が何百人、何千人となると、1通ずつ手作業で送るなんていうこともさすがにできません。

自力で訓練メールを送る方法が思いつかないために、仕方なく専門の業者に訓練実施を委託することを検討されている方もいらっしゃるかもしれませんが、キットにはこうしたことを可能にするExcelツールが付属していますので、従業員が何百人、何千人いようと、一人一人に違った内容の文書、違った内容の添付ファイルを設定した訓練メールを、一括して送付することができます。

メール一括送付ツール

訓練メールに添付するWord文書ファイルの雛形もキットに付属

キットには訓練メールに添付するWord文書ファイルの雛形として、標的型メールについて学んでもらうための教育用のドキュメントも付属しています。

キットでは任意のWord文書ファイルにWebビーコンを埋め込み、訓練メールに添付するWord文書として使用することができますが、Word文書を用意するのは面倒という方や、添付ファイルを開いてしまったら、教育用のコンテンツを見せるようにしたいという方のために、標的型メールについて学んでもらうWord文書を雛形としてキットに付属していますので、添付ファイルを開いてしまったその場で、標的型メールの危険性を学んでもらうこともできるようになっています。

訓練を実施するのであれば、うっかり標的型メールに引っかかってしまった方には、その場できっちり、標的型メールの危険性と対処方法について学んでもらいたいもの。しかし、そのための学習用コンテンツをゼロから作っていたのでは非常に面倒です。

こうした学習用のコンテンツが付属しているのも、キットの特徴の一つ。キットがあれば、コストも手間もかけずに、Word文書ファイル添付形式の標的型メール訓練を実施することが可能です。

無料モニターに参加して、実際にWord文書添付型の訓練を試してみて下さい

無料モニターにご参加頂ければ、Word文書ファイル添付形式の標的型メール訓練が実施できることを、あなたのお手元にあるWindowsパソコンを使って実際に確かめることができます。

スタンダード版以上のライセンスであれば、普段の業務で使用しているWord文書ファイルなどを訓練に使用することもできる、キットを活用してのWord文書ファイル添付形式の標的型メール訓練を、是非お試し頂ければと思います。

[adrotate banner=”20″]

サブコンテンツ