2016年3月3日木曜日

標的型攻撃メール訓練

最近、中小企業に対して標的型攻撃メールによる攻撃が増加しております。
2014年 情報通信白書 総務省HPより

標的型攻撃メールとは、不特定多数に大量に送られるウイルスメールとは異なり、特定の 組織や人にしか送られないため、セキュリティソフトの定義ファイルに登録される前に標 的とするメール受信者まで届いてしまいます。そのために、受信者がセキュリティソフトを利用していても、被害を防ぐことが困難であります。 また、メール受信者が不審をいだかないように様々な騙しのテクニックが駆使されているため、メール受信者は本物のメールと勘違いしてしまい、ウイルス感染の仕掛けが施された添付ファイルを開いたり、本文に記載されたウイルス感染の仕掛けが施されたサイトへのリンクをクリックしたりしてしまう可能性が高くなっております。 添付ファイルの開封や本文のリンク先にアクセスすると、遠隔操作ウイルスに感染し、新たなウイルスの感染、 組織システム内へのウイルス拡散、情報収集、機密情報の外部への漏えい、システムの破壊といった大きな被害へ発展することになります。


そこで先日、Ksisnet(ケーシスネット)京都中小企業情報セキュリティ支援ネットワーク様のサービスを利用させて頂き社内で標的型攻撃メール訓練を行いました。https://www.ksisnet.kyoto/

まず、特定期間中に標的型攻撃メール訓練を行いますと全社員へアナウンスしました。

以下アナウンス内容


近年、特定の組織や個人を狙って情報窃取等を行う標的攻撃が多くなっています。中でもメールを使った標的攻撃メールはソーシャルエンジニアリングの手口を使っており、だまされやすいため注意が必要です。標的攻撃メールでは、あたかも正当な業務や依頼であるかのように見せかける件名や本文メールを送りつけ、受信者がだまされやすいような仕掛けをしています。特に昨今は、受信者に関係ある実在の発信元を詐称するケースが増えており、被害を受けやすくなっています。 

こういった状況下を踏まえ、京都府情報産業協会さまのご協力を頂き弊社も訓練を受けます。○月○日から○日の期間で実施されます。特に何かして頂くことはございませんが、万が一標的攻撃メールを受信されたら騙されないようにご注意ください。また然るべき担当者へ連絡をお願い致します。

攻撃メール訓練によって何かが搾取されるや破壊される等はございません。

その後、全社員に対して下図の標的型攻撃メールを送付しました。


メール内のリンクをクリックすると訓練である旨が表示される仕組みになっております。

結果
リンククリック率 69% でした・・・
社員の7割がリンクをクリックし、標的型攻撃メールを見分けられなかったようです。

やはり標的型攻撃メールを見分けるのは難しいです。

標的型攻撃メールの見分け方はこちらの記事が参考になります。
https://www.ipa.go.jp/files/000043331.pdf


標的攻撃メール訓練は怪しいメールを見分けるスキル向上も大事ですが万が一添付を開いたり本文中のURLをクリックした場合の事後対応の訓練でもあります。火災訓練と同じで普段とは異なる事象に遭遇した時に被害が拡大するのを防ぐためには、どのように行動すべきか。迅速に関係各所に報告することができるか。社内のマニュアルではどのように対応することになっているのか。を整理する必要があります。クリック等してしまった社員のその後の行動確認が大事です。
火災訓練同様に火災が起きた時に「どうしよう。」ではなく無意識に行動ができるような社内体制・社内雰囲気を作る事が大事です。