Internet Watch logo
記事検索
最新ニュース

標的型メール攻撃に“予防接種”は有効か? JPCERT/CCが実験


 JPCERTコーディネーションセンター(JPCERT/CC)は7日、特定の企業・組織の従業員や職員を狙う「標的型攻撃」への対策のあり方を考察した「標的型攻撃対策手法に関する調査報告書」を公表した。ユーザー教育のための“予防接種”という疑似攻撃実験を行い、その結果についてもとりまとめている。


標的型メール攻撃、日本では政府機関が狙われる傾向

JPCERT/CC早期警戒グループの小宮山功一朗氏
 標的型メール攻撃とは、単なるウイルスメールではなく、標的とされた特定の組織向けにメールの文面などがカスタマイズされているもの。その会社の幹部からの社内文書を送信する体裁だったり、その組織が関連している分野の資料を装うなどして、職員らの関心を引く。

 日本では2006年に、警察庁で「不祥事への対応について」、防衛庁で「次期防衛計画」、省庁あての「小泉首相靖国参拝」、大手メーカーあての「対日AD情報」といったファイルを装って送られた事例が確認されている。2007年には、Lhacaの脆弱性を突いた「2007年度計画」、JICA台北オフィスを装い、PowerPointの脆弱性を突いた「台湾情勢について」などの事例があり、「表に出ているだけでも、数が多くなっている」(JPCERT/CC早期警戒グループの小宮山功一朗氏)。

 小宮山氏によると、海外では大企業や防衛産業が狙われることが多いが、日本では政府機関が狙われる傾向にある。添付されるのはPDFファイルやMicrosoft Office文書、一太郎文書など。一太郎文書が悪用された時などは、未知の脆弱性を突かれたゼロデイ攻撃だったため、ウイルス対策ソフトでは検知できなかったとしており、対策が難しい状況になっていると指摘する。


標的型メール攻撃には、3つの側面での対策が必要

標的型攻撃に対する3つの側面からの対策
 このような状況に対して小宮山氏は、1)攻撃を判別する技術的対策、2)被害を最小限にとどめる仕組み、3)ユーザー教育――という3つの側面からの対策が必要だと説明する。

 1)は、SPF/Sender IDやDKIMによる送信ドメイン認証、S/MIMEやPGPによる電子署名、拡張子による添付ファイルの制限などがある。

 2)は、たとえ攻撃が成功した場合でも被害を限定的にするための施策だ。例えば、Microsoft Office 2007の標準フォーマットであるOpen XMLは、XMLベースのデータ形式のためにマルウェアを仕込むのが難しくなっているという。そこで、Officeを最新バージョンに移行したり、Office 2003のファイルをOpen XMLフォーマットに変換するツール「MOICE」の利用が考えられるとした。また、OSについてもWindows Vistaを使うことで、多くの場合は対応できるとした。

 3)は、不審なメールの見分け方などを研修し、ユーザーひとりひとりが攻撃に気付き、危険を避けられるようにするための施策だ。小宮山氏によれば、ユーザー教育についてはあまり真剣に考えられてこなかったが、「近年の攻撃は人を狙ったものである以上、人の対策は避けられない」と強調する。今回の実験のテーマである“予防接種”も、ユーザー教育の中に含まれる。


疑似ウイルスメールでユーザーを訓練

予防接種の実施フロー(「標的型攻撃対策手法に関する調査報告書」より)
 “予防接種”とは、標的型攻撃を模した無害な疑似ウイルスメールをユーザーに送信し、適切に処理するかを試すという訓練手法だ。JPCERT/CCでは1月から3月まで、JPCERT/CC自身を含む5つの組織の116人に対して予防接種を実施し、今回、その結果を報告書としてまとめた。

 疑似ウイルスメールの内容は、対象となる組織の担当者と検討し、“巧妙さ”のレベルをその組織の職員に合わせてカスタマイズした。これを受け取った職員らが添付されたWordファイルを開くと、「このような怪しいメールの添付ファイルを不用意に開封すると、あなたを狙うウイルス等に感染する恐れがあります(このメールは統計調査のためのものです)」といったメッセージが表示される仕組みだ。これにより、ひっかかった人に対して注意を促し、危機意識の向上を狙う。

 その後、対象者全員に訓練だったことを伝えて種明かしをするとともに、適切な対処方法について理解を促す。さらに実験では約2週間を置いて同様の擬似メールを送信し、対処方法が本当に理解されているかどうかを確認した。

 実験した5社のうち、あるネット企業のセキュリティ担当者27人を対象にした実験では、1回目で5人が添付ファイルを開封、2回目は3人に減ったという。1回目に開封した5人は、2回目では1人も開封しなかった。

 また、あるITセキュリティ企業の総務部門と技術部門の26人を対象とした実験では、1回目に開封した人が3人いたが、2回目は誰も開封しなかった。なお、1回目において、技術部門でただ1人開封したのは、派遣社員だったという。派遣社員は業務経験が浅く、受け取ったメールの確認が業務となるため、機械的に添付ファイルを開封する可能性があるとし、特に派遣社員などを対象とした教育の必要性が感じられるとしている。

 JPCERT/CCの職員26人に対して行った実験では、擬似メール送信時に在席していた18~20人のうち、添付ファイルを開封したのは2人、さらに文面を巧妙化した2回目は5人が開封した。2回目のメールは、JPCERT/CCの幹部から「予算計画.doc」というWordファイルを送信し、職員らに来期の予算計画の確認を求めるシナリオとなっている。職員であれば開いてしまいそうになるが、差出人が幹部名であるにもかかわらず、メールアドレスはGmail。業務のメールとしては異例であるため、注意深く見れば気付くようになっていたという。


予防接種は「ちょっと確認すれば、怪しいとわかる程度」がポイント

疑似メールの例(「標的型攻撃対策手法に関する調査報告書」より)
 今回の実験結果からJPCERT/CCでは、対象者におけるセキュリティ技術に対する理解度と開封率の間に相関関係は見られなかったとして、ソーシャルエンジニアリング手法を用いた標的型メール攻撃に対しては、技術やスキルだけでは対応できないことが改めて示されたとしている。また、その効果については、予防接種だけをするのは無意味だと指摘。事前に脅威や被害の実態をレクチャーしておき、ユーザー教育を補足する手段として予防接種を行なうことにより、最大の効果を発揮するとしている。

 なお、小宮山氏によれば、海外で行われた同様の調査と比べると、今回の実験における開封率は低かったという。一方、セキュリティ関連組織であるJPCERT/CCを対象にした実験でも実際に開封してしまった人がいた点については、全員がセキュリティアナリストではなく、事務職員も含まれていたと説明しながらも、「本当によくできたソーシャルエンジニアリングだったら、私も開いてしまうだろう」と振り返る。

 実際のところ、擬似メールは、あまり作り込みすぎると、これを受け取った人にとっては判断しようがなくなってしまう。本物の標的型メール攻撃の多くがそれほど巧妙にできいるわけではないことからも、「ちょっと確認すれば、怪しいとわかる程度」の疑似メールで社員に気付かせるレベルにあえて設定することで、「私はきちんと対応した」という意識を持たせることが重要だとした。そのため、予防接種については、自社のレベルに応じた適切なシナリオを作り、各企業が主体で実施してもらうのが理想だという。

 なお、今回の実験では、開封しなかった人が必ずしも怪しいと判断して開封しなかったわけではなく、メールに気付かずに削除した人や、そもそも添付ファイルに興味を持たなかった人も含まれるようだ。JPCERT/CCでは2008年度、さらに被験者数を10倍に拡大した実験を行い、より詳しく分析したい考えだ。


関連情報

URL
  標的型攻撃対策手法に関する調査報告書(PDF)
  http://www.jpcert.or.jp/research/2008/inoculation_200808.pdf

関連記事
日本でもスピア型ウイルス、「対日アンチダンピング情報」装うメール確認(2006/03/03)
NTT西日本とトレンドマイクロ、擬似不正メールによる訓練サービスを開始(2004/09/06)
ウイルスメールの疑似体験でセキュリティ意識を向上させるサービス(2006/07/14)


( 永沢 茂 )
2008/08/08 11:09

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.