Case06 標的型攻撃メールは見分けることが不可能?いいえ、そんなことはありません!

標的型攻撃メールは巧妙。だから防ぐことは難しい。という話のウソ

新聞紙上などで標的型攻撃メールの被害に遭った企業の発表を見ると、「メールの内容が極めて巧妙で、一目で見抜くことができなかった」といった趣旨の言葉を往々にして目にします。

セキュリティ対策製品を販売しているベンダーやセキュリティの専門家も、「標的型攻撃メールは防ぐのが難しい、だから、被害に遭うことを前提とした対策を取るべき」といった趣旨の発言をしている場面を多く見かけます。

このようなことから、標的型攻撃メールは見分けることが不可能である。といったイメージを持たれている方も少なくないと思うのですが、「標的型攻撃メールは防ぐのが難しい」という言葉には、実は、視点の違いから2つの解釈があることを知る必要があります。

一つは、額面通り、

どんなに努力しても標的型攻撃メールは防げない。というもの、

もう一つは、

標的型攻撃メールによる攻撃を許してしまう人がいるために、標的型攻撃メールは防げない。というものです。

前者は、標的型攻撃メールを防ぐための方法が無いために防ぐことができない。という意味で、後者は、防ぐための方法はあるけれど、人が原因でその方法が有効に機能しないという意味です。

標的型攻撃メールは内容が巧妙で防ぐことが難しい。などと言われると、前者の意のように、防ぐことなんて不可能。と思ってしまいがちですが、それは真実ではありません。標的型攻撃メールは防ぐことが難しい。と言われる背景は、実は後者の意であり、防ぐことができないようなものでは決してありません。

セキュリティ製品ベンダーや専門家が、被害に遭うことを前提とした対策を取るべきであることを推奨するのは、「確実に被害を防ぐ」という安全サイドに立って、人的ミスなどによって攻撃を許してしまうようなことがあったとしても大丈夫なように。という意味での発言であり、防ぐ方法がない。という意味で言っているのではありません。

「標的型攻撃メールは極めて巧妙」であっても、防ぐ方法はあるのです。

メール本文を見て標的型メールかどうかを判断させる訓練は間違い

標的型メール訓練というと、メール本文におかしな日本語が使われているなど、メール本文が怪しいと感じるメールを従業員に送り、そうしたメールを不審と感じるかどうかを試すような訓練を想像する、もしくは、実際にそうした訓練を実施している企業もあるかもしれませんが、メール本文を見て、標的型攻撃メールかどうかを判断するような練習は、訓練の方法としては間違っています。

標的型攻撃メールに限らず、悪意を持ったメールは世界中から送られてきます。なので、日本語に精通していない攻撃者が送ってくるメールの本文は、日本語の使い方におかしな箇所があったりすることから、見分け方の方法の一つとして、

メールの本文が怪しい文章でないかどうか?を確認する。

という方法があります。しかし、これは日本語に関する知識を十分に持たない攻撃者、言ってみれば、あまりレベルの高くない攻撃者からのメールを見分けるための初歩的な知識でしかなく、ゲームに例えて言えば、ザコキャラを倒せる程度のスキルレベルでしかありません。

その程度のスキルレベルの習得練習を繰り返したところで、高度な攻撃者からの攻撃をかわすことができるはずもなく、「メール本文が極めて巧妙だったので、被害に遭うのもやむを得なかった」などと言い訳するのは、自社にはその程度のスキルレベルしかなかった。と白状するようなものであり、自社のセキュリティレベルが如何に低いものであるのかを公にさらすようなものです。そんな恥の上塗りをするようなことは、決してしてはいけません。

もし御社が、メール本文の怪しさを見分けるような訓練を従業員に対して実施しているなら、今すぐにそのような訓練をすることを改め、本当に意義のある訓練を実施するよう、訓練の方法自体を見直す必要があります。

企業が実施すべき本当の標的型攻撃メール訓練とは?

メール本文が怪しいものでないかどうかをチェックする方法は、標的型攻撃メールであるかどうかを見分ける基礎的な方法の一つではあるので、それはそれで従業員に対して知識として与え、従業員全員がメール本文の内容に意識を向ける習慣を身に着けることは大事なことではありますが、そればかりを訓練として繰り返すのは片手落ちです。

メールの本文自体は、ソーシャルエンジニアリングの手法として、メールの読み手が悪意のあるプログラム(マルウェア)を実行してしまうきっかけ作りに寄与することはあっても、メール本文自体がマルウェアを実行するということはないので、マルウェアとの関連性は全くありません。

攻撃者の狙いを交わし、自社を攻撃者の悪意から守りたいなら、攻撃者がどのような方法でマルウェアを実行させようとしているのか?その打ち手を知り、そのような打ち手が使われていないかどうかを見透かせるよう、従業員を訓練し、習慣的に気付けるようにすることこそが必要です。

標的型攻撃メール訓練は、従業員がそのような習慣を身に着けることができるよう手助けを行い、実際に実践することによって、習慣として身につくことを後押しするものであるべきです。

攻撃者の手の内が分かれば、攻撃者がどんな方法で私たちを騙そうとしているかがわかることはもちろんのこと、騙そうと考えていそうなポイントをチェックすることで、攻撃者のレベルや狙いも推察することができます。メールの本文がどんなに巧妙に作られていようと、抑えるべきポイントを従業員がしっかり理解し、常に目を配る習慣ができていれば、標的型攻撃メールなどに騙されてしまうようなことは防ぐことができるのです。

しかしながら、多くの企業においては、この習慣自体ができていないのが現状です。このような習慣が必要であることすら知らない企業も少なくありません。

だから、「不審なメール」とは、メールの本文がおかしい、もしくは、怪しさを感じるようなメールであると誤解し、そのようなメールは開かないようにする。といったような、本質からは外れた訓練を一生懸命やるような企業が出てきてしまうのです。

もし、あなたの組織ではこのような訓練を実施している、もしくは、このような訓練しか提供できないような業者に訓練の実施を委託しているなら、今すぐにでも訓練実施のあり方、目的、そして目標を見直すべきです。

もし、どうやって見直せばよいのかわからない。ということであるなら、弊社にご相談ください。何かしらお役に立てることがきっとあると思います。