標的型メール攻撃の“予防接種”、半数が感染するも学習効果あり

　JPCERTコーディネーションセンター（JPCERT/CC）は19日、特定の企業・組織の従業員や職員を狙う「標的型メール攻撃」の被害を低減するために実施した「ITセキュリティ予防接種」の報告書をとりまとめた。

　標的型メール攻撃とは、単なるウイルスメールではなく、標的とされた特定の組織向けにメールの文面などがカスタマイズされているもの。その会社の幹部からの社内文書を送信する体裁だったり、その組織が関連している分野の資料を装うなどして、職員らの関心を引くのが特徴だ。

●メール依存度の高い企業では攻撃後1時間以内に開封

被験者の概要

JPCERT/CCの小宮山功一朗氏

　今回JPCERT/CCが実施したITセキュリティ予防接種は、標的型メール攻撃を模した無害な疑似攻撃メールを2週間間隔で2回送信し、添付ファイルの開封率を測定・比較することで、予防接種の効果を見ようというもの。2008年6月から2009年3月まで、JPCERT/CCを含む14の協力企業、のべ約2600人の被験者に対して実施した。

　疑似攻撃メールの内容は、各協力企業の担当者と検討した上で、被験者にとって魅力的であるような文面を作成した。なお、差出人の表示名は基本的に実在しない個人または組織に設定したり、フリーメールのアドレスを用いるなど、被験者が疑似ウイルスメールと判断できるような仕掛けも施している。

　疑似攻撃メールには、疑似ウイルスとして文書ファイルを添付。文書ファイルにはWebビーコンを挿入することで、ファイル開封の有無を測定できるようにした。被験者がファイルを開くと、標的型メール攻撃の説明と注意喚起などの内容が表示され、種明かしをする仕組みだ。各協力企業は、被験者に対して標的型メール攻撃の事前教育を行っている。

　実験では、初回の平均開封率が45.4％、2回目は14.0％にまで減少し、被験者の学習効果が見られたという。

　メールを頻繁に利用する企業では、疑似攻撃メール配信直後の1時間以内で開封するケースが目立った。この結果についてJPCERT/CCの小宮山功一朗氏は、「標的型メール攻撃を受けてからセキュリティ管理者が注意喚起をしても遅いということ」と指摘。事後対策よりも事前教育で標的型メール攻撃の特徴を伝えることが重要だとした。

開封した被験者数の推移	メール送信から開封までにかかった時間

　被験者に対しては、実験終了後にアンケートを実施。年齢や勤続年数などの個人属性を聞いたところ、個人属性による開封率に顕著な違いは見られなかったという。小宮山氏は、「入社1～3年の新人だから開封したり、入社30年のベテランだから開封しないなどの傾向はなかった」と説明。勤続年数や、組織の知識を持つことが、開封率低下につながらなかったのは予想外だったと振り返った。

　また、協力企業の多くは情報セキュリティ上の問題を報告する窓口が設定されていたが、疑似攻撃メール受信時に定められた窓口に報告を行った被験者は少なかった。アンケートの結果を踏まえると、ITに詳しい同僚に相談した被験者が多いことが伺えたという。「管理者に報告してもらえなければ、攻撃の全体像をつかめない。とはいえ、アンケートでは被験者の62.6％が今後は管理者に連絡すると答えていたのは良い傾向」とした。

　今回の実験結果を受けJPCERT/CCでは、標的型メール攻撃に対する警戒心を喚起し、標的型メールを見分けるスキルを獲得させることを通じて、被害を低減できると説明する。また、企業や組織で予防接種を実施するためのツールの無償提供を開始した。ツールには、Webビーコンを挿入したり、疑似ウイルスメールのテンプレート、メールを一斉送信するための配信ツールなどが含まれる。