小林:技術的対策も必要だが,最近の標的型攻撃の手口を考えると,もっと本質的な対策が必要なんじゃないか?
山下:本質的な対策と言いますと?
小林:やはり社員の意識の啓発だろう。
標的型攻撃のようなソーシャル・エンジニアリング攻撃は,どんなに技術的な対策を施したとしても,限界がある。最終的には社員 1人 1人が充分な意識を持っていなければ,不用意にファイルを開いてしまう行為を完全に止めることはできない。つまり標的型攻撃対策には社員の意識の啓発が必須なわけだが,効果的な啓発手法として,JPCERT/CCが提唱する「予防接種(inoculation)」がある。
[参考]
「標的型攻撃対策手法に関する調査報告書」(JPCERT/CC)
https://www.jpcert.or.jp/research/2008/inoculation_200808.pdf
小林:予防接種? 予行演習とは違うのか?
山下:似ていますがちょっと違います。予行演習は実際に事故が発生したことを想定して,その後のアクションがマニュアルどおりに行なえるかどうかを試すものですが,「予防接種」は英語のinoculationが示すように「意識の植え込み,教え込み」が目的なのです。
小林:ピンとこないなぁ…。具体的には何をするんだ?
山下:標的型攻撃のメールを実際に社員に送ってみるんです。
小林:!!
抜き打ちで「擬似攻撃メール」を送る
「予防接種」とは,標的型攻撃メールに模した無害のメールを抜き打ちで社員に送付し,受け取った社員のうち,どれくらいがメールの指示にしたがって実際に添付ファイルを開いてしまうかを調べるものである(図3)。社員の意識レベルを測るとともに,開いてしまった社員に対して,標的型攻撃の危険性を説明する文章と,今後不用意に添付ファイルを開かないようにすること,関係者に確認を取ることなどの適切な対応を促すメッセージを表示することで,意識の啓発を図る。
抜き打ちでメールを送るとは言っても,その前に何もしないわけではない。あらかじめ社員に対して,標的型攻撃の危険性とメールを受け取った際の適切な対応方法についてレクチャーしておく。レクチャーとの組み合わせによって予防接種がより一層効果を発揮する。
さらに,間隔をあけて 2回目を実施し,添付ファイルを開いてしまう社員の数が減っているかどうかを確認することも重要である。
そのほか,JPCERT/CC の報告書には,予防接種実施に必要な注意事項や攻撃メール,添付ファイルのサンプルが掲載されている。実施にあたって目を通しておくとよい。
小林:これは面白そうだな。是非やってみよう。
山下:了解しました。
