標的型攻撃メール訓練について①

今回は前回秋葉原の勉強会で私が発表した「標的型攻撃メール訓練について」を記事にしていきます。

なお、この内容については特定の団体などに対して非難等をするものではなく、あくまで個人的な意見であることをあらかじめご了承ください。

まずは標的型攻撃メール訓練についてどういったものかご存知ない方もいると思いますので、それについて簡単に説明します。
※もちろんセキュリティ会社によってはサービスが異なる場合があります。

①訓練対象者のメールアドレス宛に標的型攻撃メール訓練を送信する。内容についてはURLリンク型や添付ファイルの開封型などその組織が行いたい内容で実施する。

②訓練対象者が訓練メールの添付ファイルを開封したりやURLリンクをクリックした場合、その数が集計される。

③その集計結果を報告書に記載し、前回の実施分と比較し組織全体で開封率がどうなっているか（高くなっている、低くなっている等）を確認する。

といった具合に行っていることが多いのではないでしょうか？

さて、これなんですが、結局は開封率が低くなっていくようにしていきたいと思うのですが、私の考えではこの訓練をやって出る成果は非常に少ないのではないかと考えています。

そもそも標的型攻撃メールの大部分はどのような攻撃メールになるのでしょうか？

以下に参考として警察庁から出ている平成29年上半期におけるサイバー空間をめぐる脅威の情勢等についてより「標的型攻撃メールの割合」の図を引用します。
※平成29年の資料ですが、平成30年も大きく変化がないことは確認しています。良さそうな図が見つからなかった・・・

この図を見てわかるとおり、標的型攻撃メールの大部分は「ばらまき型」となっています。

ばらまき型というのは特定の個人まで絞り込みは行いません。

windowsのライセンス認証についてのメール文であったり宅配サービスを装ったものまで様々ですが、その組織内の誰か一人でも引っかかってしまったら攻撃者の勝ちになる可能性があるメールです。

なので、標的型攻撃メール訓練で開封率が下がっていても誰かが開く可能性がある時点で組織全体にウイルスやマルウェアへの感染の影響が出る可能性があります。

上記観点から開封率を下げることだけを目的とした標的型攻撃メール訓練について成果が低いと考えています。

では次にどのように訓練をしたらいいかについて考えていきます。

まずは大体の方が小学校などでも今までやってきた「防災訓練」を考えてみましょう。

防災訓練では、実際に地震や火事の被害が発生したと想定し訓練を行っていると思います。

私の遠い記憶では防災頭巾をかぶり、机の下に一時的に隠れ、その後タイミングを見て教師の誘導に従って校庭や近くの公園まで避難していたりしました。

標的型攻撃メール訓練も同様に実際に標的型攻撃メールが来て添付ファイルやURLリンクをクリックしてしまった際を想定し訓練を行うべきなのではないでしょうか？

添付ファイルやURLリンクをを開く開かないの訓練ではなく、開いた際にどのように行動すればいいかを訓練するべきと考えています。

例として、「どこにエスカレーションするのか？」「マシンはどのように保管するのか（LAN等）」「ウイルスに感染していた場合の復旧手順」等があるかと思います。

また、その対応がちゃんと現実的に実施可能なのか？今の状況に沿っているのかを確認することで訓練を行う意義というのは飛躍的に向上すると考えています。

BCP訓練やDRP訓練に繋がるのでとてもいい訓練になると考えています。

BCP（事業継続計画：Business continuity planning）
DRP（災害復旧計画：Disaster Recovery Plan）
※CISAやCISMの試験で出るので資格が欲しい方は必ず覚えましょう！

少し長くなってしまうので、この内容は二回に分けて記事にしてきます。

個人的には是非とも考えていただきたい内容ですので、興味がある方は次回の記事も見て頂けると嬉しいです。

不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。