情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. 情報セキュリティ安心相談窓口
  4. 安心相談窓口だより
  5. 安心相談窓口だより 2017年度
  6. 組織における標的型攻撃メール訓練は実施目的を明確に

組織における標的型攻撃メール訓練は実施目的を明確に

公開日:2017年7月31日

独立行政法人情報処理推進機構
セキュリティセンター

  • 安心相談窓口だより

組織における標的型攻撃メール訓練は実施目的を明確に

組織においては、不審なメールを受信した場合、さらには添付ファイルを開いてしまった場合、ウイルス感染等の被害に遭うことがあり、その被害拡大を抑止すべく適切な対処を行う必要があります。そのため、有事に備えて、セキュリティ企業が提供している"標的型攻撃メール訓練"サービスを利用したり、自前でシステム管理部門等が中心となって同様の訓練を実施したりするケースがあります。

  • 図1:組織内で不審なメールを受信した際に適切な対処が行えるように訓練する

IPAには「不審なメールを受信した」という情報提供や「不審なメールの添付ファイルを開いてしまった」という相談が連日のように寄せられています。そして、その中には「IPAを騙った不審なメールを受信した」という内容もあります。しかし、その多くはIPAの組織名を用いた訓練メールであったことを確認しています。背景として、訓練を実施する際に用いるメール文面には、リアリティ追求の観点から実在する組織名を使うべき(脚注1)という考えがあるようです。

このように実在する組織名を使った訓練では、訓練メールに使われた実在の組織に問い合わせが入る可能性があります。そこで、標的型攻撃メール訓練の実施において留意すべきポイントを2点紹介します。

(脚注1) 2015年12月の呼びかけ:ウイルス感染を目的としたばらまき型メールに引き続き警戒を

(1)実施目的を明確にして訓練内容を決定する

標的型攻撃メール訓練は、不審なメールを実際に受信した場合、適切な対処が行えるかどうかを確認する目的で実施されるものです。不審メールの開封率を下げる(不審メールに気付くポイントを学習、体験する)ことは代表的な目的の一つですが、他にも不審メールの受信者が適切な対処ができるか、有事の際にきちんと機能する体制であるかを確認し、組織として改善、強化を図っていく等を目的とした訓練も重要です。一般的には次のような観点で目的に即した具体的な訓練内容を検討していきます。

  • 想定する攻撃:標的型攻撃メール、あるいはばらまき型メール
  • 確認する内容:不審メールの添付ファイル開封率、あるいは適切な対処の達成率
  • 訓練の対象者:特定の条件(ランダムを含む)に合致する者、あるいは全員

これらの観点から、訓練メールの内容、添付ファイルを開封した際の対処や報告ルートが適切でなかった受信者へのフォロー等を検討する必要があります。なお、後述する第三者への影響を考慮することも重要なポイントです。

  • 図2:訓練の目的に即した適切な内容を検討していくことが重要
    図2:訓練の目的に即した適切な内容を検討していくことが重要

訓練の目的と概要の例としては以下の様に整理されます。

例1.
目的:組織内における不審メールへの耐性(警戒せずに添付ファイルを開いてしまう割合)の計測
概要:一般的なばらまき型メールを模倣したメールの開封率を確認

例2.
目的:外部から巧妙な標的型攻撃を受けた際の対処スピードの計測
概要:本文に内部情報(組織内に実在する部門や役職者の名称等)が記載されたメールを受信した際、または添付ファイルの開封後、然るべき部門、あるいは担当者が報告を受けるまでの時間を計測

例3.
目的:組織内のCSIRT(脚注2)(システム管理部門やセキュリティの責任者等)の対応における問題点の洗い出し
概要:訓練メールの受信者数や送信日時を調整し、多数の不審メールに関する報告がされた場合の、報告から対応完了に至るまでの作業フローの問題有無を確認

(脚注2) Computer Security Incident Response Teamの略で、コンピュータやネットワーク上でセキュリティ上の問題等に対処する組織の総称。

(2)訓練による第三者への影響を考慮する

不審なメールを受信した際の対応として、送信元である組織や個人に送信有無を確認することは正しい対処の1つです。しかし、それ故に"本文および差出人に実在または酷似する組織やドメインを用いたメール"を使い訓練を実施した場合、次のように第三者の業務に影響を与えてしまう懸念があります。

  • メール受信者が訓練メールに使われた実在する組織へ直接問い合わせをすることで、その組織が事実確認に追われる。
  • メール受信者が注意喚起等を目的としてSNSで訓練メールの内容を投稿した結果、SNS上の拡散により実在する組織の風評被害が発生する。
  • 図3:訓練メールの内容によっては第三者の業務に影響を与えてしまうことも
    図3:訓練メールの内容によっては第三者の業務に影響を与えてしまうことも

また、場合によっては訴訟問題に発展する可能性もあり、その様な思わぬトラブルに巻き込まれないためにも、実在または酷似する組織名を使ったメールでの訓練は実施しないことが賢明です。なお、独立行政法人ではない組織が独立行政法人を名乗った場合、独立行政法人通則法違反(脚注3)で罰則対象となる可能性もあります。

もし勤務先のメールアドレスで不審なメールを受信した場合、受信者は各々で送信元に送信有無を確認するのではなく、システム管理部門やセキュリティの責任者等、内部の然るべき部門や担当者に報告するべきです。組織としても、そのような体制や運用ルールが確立、周知されているかを改めて確認しておくことが望まれます(脚注4)。

(脚注3) (名称の使用制限)第十条  独立行政法人又は国立研究開発法人でない者は、その名称中に、独立行政法人又は国立研究開発法人という文字を用いてはならない。
(脚注4) 2016年6月23日公開:【注意喚起】攻撃の早期検知と的確な初動による深刻な被害からの回避を

お問い合わせ先

IPAセキュリティセンター 情報セキュリティ安心相談窓口

記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。

更新履歴

  • 2017年7月31日

    掲載