標的型攻撃メールの予防対策 �
��������������������������������������������������
伊藤 史人†,高見澤 秀幸†,佐藤 郁哉† �
������������†���������������������†������������†�
������������������������������������������������������������������������������
†一橋大学情報基盤センター �
† ����������������������������������������������������������������������������
概要 �
標的型攻撃メールは,ある特定の組織や個人を狙った機密情報等を窃取する手段に利用されている.攻撃 に利用するメールにはファイルが添付されており,受信者がそのファイルを開くことでシステムの脆弱性等 を突き任意のコードを実行する.メールの文面は,受信者が不審に感じ難いものとしていることが多く,完 全な防御は極めて難しい.その一方で,効果的な対策としては,教育的効果を狙って模擬標的型攻撃メール を対象者に送り,同種の攻撃に対する意識を高めることが挙げられる.本論文では,標的型攻撃メールを病 原体と仮定し,模擬標的攻撃メールを「予防接種」として作用させ,「人」に免疫反応を引き起こすことで攻 撃への耐性を高める試みについて報告する.具体例として,一橋大学の学生��� 名と事務職員 ��� 名に対す る模擬標的型攻撃メールを予防接種した結果と,解析結果から得られた今後の対策案について述べる.�
キーワード �
標的型攻撃メール����� ビーコン�� 脆弱性�� 情報漏えい�� 個人情報�
�
���はじめに�
標的型攻撃メールは,セキュリティにおいて最も弱点 となりやすい「人」をターゲットとしている点に特徴が ある.「人」に対する情報セキュリティ対策は,統一的に 実施するのは困難である.攻撃手法においては,未知の ウイルスや脆弱性を悪用してシステムへの侵入を試みる ため,確実な対策は極めて難しい.�
そのため,標的型攻撃メールは認知されてから� 年ほ ど経っており,もはや新しい手法ではないにも関わらず,
未だ完全な対策が打てないのが現状である.今日も公官 庁や大手電機メーカーからの機密情報漏えいが止むこと はなく,情報セキュリティ対策は依然として対症療法的 な対応とならざるを得ない状況が続いている.�
セキュリティ対策としては,標的型攻撃メールが「人」
に対する攻撃であることから,システムのみによる対策 は実効性に乏しく,やはり「人」への対策が必須である.�
本論文では,標的型攻撃メールそのものを病原体(抗 原)と仮定し,模擬標的攻撃メールを「予防接種」とし て利用し,「人」に免疫反応を引き起こすことで攻撃への 耐性を高める試みについて述べる.�
���セキュリティ対策と標的型攻撃メール�
標的型攻撃メールは���� 年の衆議院議員会館や原子 力発電設備関連の情報漏えいで大いに話題になったため,
新しい攻撃手法と思われがちであるが,インターネット の歴史の時間軸からみればけっして新しいものではない.
ここでは,過去のウイルスメールについて振り返り,標 的型攻撃メールの対策について考察する.�
�����インターネット経由の攻撃活動の変遷�
インターネットが一般家庭に普及した���� 年以降,大 きく分けて�段階の攻撃手法に分類することができる���.�
���� 年初頭は,「均一的かつ広範囲にわたる単発被害」
と表現することができる.被害としては��� サイトのペ ージ書き換え等が相当する.当時はセキュリティ対策が 甘いサーバも多く,攻撃者は手動でも比較的容易に攻撃 を成功させることができた.ユーザのセキュリティ意識 も低かったことから,ウイルスが含まれた添付ファイル によって感染が広まった.�������� は愉快犯的なウイル スであるが,世間に多く広まったことから,コンピュー タウイルスへの意識を高める契機となった.�
また,当時の代表的なウイルスは,������ や ���������
が挙げられ,これらは無防備なシステムに感染し,ユー ザの共有フォルダデータを消去するなど大きな被害をも たらした.さらには,サイバー攻撃を組織的に行うこと で情報を窃取し,それをビジネスとする流れも生まれた.�
���� 年にかけては,「均一的かつ広範囲にわたる連鎖 的被害」となる.攻撃者は攻撃を多様な手段で自動化し てマルウェアを流布するとともに,ワームを��� サイト に仕込むことでユーザのシステムを攻撃し,以前よりも 広範囲かつ連鎖的に感染させることに成功した���.�
���� 年以降は「類似した局所的な被害」として,���
インジェクションによる���サイト攻撃や� �������������
による情報流出が挙げられる.また,フィッシングやス パイウェア,さらにはボットなどが活発になった時期で あった.�
そして,���� 年以降は「すべてが異なる局所的な被害」
として標的型攻撃が認知されるようになった.攻撃者は 不特定多数を対象にするのではなく,ある目的を持って 特定の対象を決めてより確実な攻撃を仕掛けるようにな ったのである.このことは,以前よりもサーバの堅牢性 が増したことと無関係ではなかったと考えられる.サー バのセキュリティ対策に比べ,クライアントについては 脆弱性が放置されていることが多く,標的型攻撃はその 穴を狙ったものであるといえる.そして,現在,標的型 攻撃は完全防御できない攻撃手法として各所で大きな被
害を出すに至っている.�
�����階層毎のセキュリティ対策�
セキュリティ対策を実施するにあたって,一般的には階 層毎に対策を行うこととなる.�
表� � にその例を示す.�
ネットワーク階層においては,ファイアウォールやフ ィルタリングによる対策を実施することで,おおむねセ キュリティは全体的に向上する.しかし,ネットワーク の未知の脆弱性や,正常なプロコトル通信を悪用した被 害からは免れることはできない.それらは,ゼロデイ脅 威としてセキィリティ対策の大きなウィークポイントと なっている.�
サーバおよびクライアントの階層ではウイルス対策ソ フトやセキュリティアップデートにより,多くのセキュ リティホールを塞ぐことが可能である.ただし,ネット ワーク階層と同様に,ゼロデイ脅威となるソフトウェア の未知の脆弱性やウイルスによるセキュリティの低下は 必至である.このことから,事前経験のない未知の脅威 に対してはやはり完全に無防備であるといってよい.�
パケットの振る舞いに着目して未知の亜種ウイルスに 対応する手法も研究されているが,まったくの未知のウ イルスに対してはやはり効果を発揮しない���.亜種ウイ ルスを予測するにはあらかじめベースとなる本体ウイル スを解析しておく必要があるためである.�
最後に「人」の階層でのセキュリティ対策である.「人」 は機械と異なり,推測する能力においては極めて高いと される.その特性を活かすのと併せて,個人への教育や 組織体制の見直しにより,ゼロデイ脅威に対して有効な 作用を発揮する.機械が行う解析ベースのセキュリティ 対策よりも柔軟に対応することが可能である.つまり, 未知の脅威に対しても,教育等により完全に無防備にな ることなく,一定以上の効果を見込むことができるので ある.�
�����「マスメール型」と「標的型」�
ウイスルメールには,コンピュータウイルスに感染し たパソコンから更にウイルスメールを送ることで感染を 拡大する「マスメール型」と,特定の組織や個人からの 情報窃取を目的とした「標的型」に大別することができ る���.�
「マスメール型」は愉快犯的なウイルスも含まれてお り,その脅威は件数のみで判断できない.一方で,「標的 型」はその目的から明らかに悪意のある場合が多いと考 えられ,今日も重大なセキュリティインシデントを発生 させている.そのため,ウイルス届出件数が減少してい
標的型攻撃メールの予防対策 �
��������������������������������������������������
伊藤 史人†,高見澤 秀幸†,佐藤 郁哉† �
������������†���������������������†������������†�
������������������������������������������������������������������������������
†一橋大学情報基盤センター �
† ����������������������������������������������������������������������������
概要 �
標的型攻撃メールは,ある特定の組織や個人を狙った機密情報等を窃取する手段に利用されている.攻撃 に利用するメールにはファイルが添付されており,受信者がそのファイルを開くことでシステムの脆弱性等 を突き任意のコードを実行する.メールの文面は,受信者が不審に感じ難いものとしていることが多く,完 全な防御は極めて難しい.その一方で,効果的な対策としては,教育的効果を狙って模擬標的型攻撃メール を対象者に送り,同種の攻撃に対する意識を高めることが挙げられる.本論文では,標的型攻撃メールを病 原体と仮定し,模擬標的攻撃メールを「予防接種」として作用させ,「人」に免疫反応を引き起こすことで攻 撃への耐性を高める試みについて報告する.具体例として,一橋大学の学生��� 名と事務職員 ��� 名に対す る模擬標的型攻撃メールを予防接種した結果と,解析結果から得られた今後の対策案について述べる.�
キーワード �
標的型攻撃メール����� ビーコン�� 脆弱性�� 情報漏えい�� 個人情報�
�
���はじめに�
標的型攻撃メールは,セキュリティにおいて最も弱点 となりやすい「人」をターゲットとしている点に特徴が ある.「人」に対する情報セキュリティ対策は,統一的に 実施するのは困難である.攻撃手法においては,未知の ウイルスや脆弱性を悪用してシステムへの侵入を試みる ため,確実な対策は極めて難しい.�
そのため,標的型攻撃メールは認知されてから� 年ほ ど経っており,もはや新しい手法ではないにも関わらず,
未だ完全な対策が打てないのが現状である.今日も公官 庁や大手電機メーカーからの機密情報漏えいが止むこと はなく,情報セキュリティ対策は依然として対症療法的 な対応とならざるを得ない状況が続いている.�
セキュリティ対策としては,標的型攻撃メールが「人」
に対する攻撃であることから,システムのみによる対策 は実効性に乏しく,やはり「人」への対策が必須である.�
本論文では,標的型攻撃メールそのものを病原体(抗 原)と仮定し,模擬標的攻撃メールを「予防接種」とし て利用し,「人」に免疫反応を引き起こすことで攻撃への 耐性を高める試みについて述べる.�
���セキュリティ対策と標的型攻撃メール�
標的型攻撃メールは���� 年の衆議院議員会館や原子 力発電設備関連の情報漏えいで大いに話題になったため,
新しい攻撃手法と思われがちであるが,インターネット の歴史の時間軸からみればけっして新しいものではない.
ここでは,過去のウイルスメールについて振り返り,標 的型攻撃メールの対策について考察する.�
�����インターネット経由の攻撃活動の変遷�
インターネットが一般家庭に普及した���� 年以降,大 きく分けて�段階の攻撃手法に分類することができる���.�
���� 年初頭は,「均一的かつ広範囲にわたる単発被害」
と表現することができる.被害としては��� サイトのペ ージ書き換え等が相当する.当時はセキュリティ対策が 甘いサーバも多く,攻撃者は手動でも比較的容易に攻撃 を成功させることができた.ユーザのセキュリティ意識 も低かったことから,ウイルスが含まれた添付ファイル によって感染が広まった.�������� は愉快犯的なウイル スであるが,世間に多く広まったことから,コンピュー タウイルスへの意識を高める契機となった.�
また,当時の代表的なウイルスは,������ や ���������
が挙げられ,これらは無防備なシステムに感染し,ユー ザの共有フォルダデータを消去するなど大きな被害をも たらした.さらには,サイバー攻撃を組織的に行うこと で情報を窃取し,それをビジネスとする流れも生まれた.�
���� 年にかけては,「均一的かつ広範囲にわたる連鎖 的被害」となる.攻撃者は攻撃を多様な手段で自動化し てマルウェアを流布するとともに,ワームを��� サイト に仕込むことでユーザのシステムを攻撃し,以前よりも 広範囲かつ連鎖的に感染させることに成功した���.�
���� 年以降は「類似した局所的な被害」として,���
インジェクションによる���サイト攻撃や� �������������
による情報流出が挙げられる.また,フィッシングやス パイウェア,さらにはボットなどが活発になった時期で あった.�
そして,���� 年以降は「すべてが異なる局所的な被害」
として標的型攻撃が認知されるようになった.攻撃者は 不特定多数を対象にするのではなく,ある目的を持って 特定の対象を決めてより確実な攻撃を仕掛けるようにな ったのである.このことは,以前よりもサーバの堅牢性 が増したことと無関係ではなかったと考えられる.サー バのセキュリティ対策に比べ,クライアントについては 脆弱性が放置されていることが多く,標的型攻撃はその 穴を狙ったものであるといえる.そして,現在,標的型 攻撃は完全防御できない攻撃手法として各所で大きな被
害を出すに至っている.�
�����階層毎のセキュリティ対策�
セキュリティ対策を実施するにあたって,一般的には階 層毎に対策を行うこととなる.�
表� � にその例を示す.�
ネットワーク階層においては,ファイアウォールやフ ィルタリングによる対策を実施することで,おおむねセ キュリティは全体的に向上する.しかし,ネットワーク の未知の脆弱性や,正常なプロコトル通信を悪用した被 害からは免れることはできない.それらは,ゼロデイ脅 威としてセキィリティ対策の大きなウィークポイントと なっている.�
サーバおよびクライアントの階層ではウイルス対策ソ フトやセキュリティアップデートにより,多くのセキュ リティホールを塞ぐことが可能である.ただし,ネット ワーク階層と同様に,ゼロデイ脅威となるソフトウェア の未知の脆弱性やウイルスによるセキュリティの低下は 必至である.このことから,事前経験のない未知の脅威 に対してはやはり完全に無防備であるといってよい.�
パケットの振る舞いに着目して未知の亜種ウイルスに 対応する手法も研究されているが,まったくの未知のウ イルスに対してはやはり効果を発揮しない���.亜種ウイ ルスを予測するにはあらかじめベースとなる本体ウイル スを解析しておく必要があるためである.�
最後に「人」の階層でのセキュリティ対策である.「人」
は機械と異なり,推測する能力においては極めて高いと される.その特性を活かすのと併せて,個人への教育や 組織体制の見直しにより,ゼロデイ脅威に対して有効な 作用を発揮する.機械が行う解析ベースのセキュリティ 対策よりも柔軟に対応することが可能である.つまり,
未知の脅威に対しても,教育等により完全に無防備にな ることなく,一定以上の効果を見込むことができるので ある.�
�����「マスメール型」と「標的型」�
ウイスルメールには,コンピュータウイルスに感染し たパソコンから更にウイルスメールを送ることで感染を 拡大する「マスメール型」と,特定の組織や個人からの 情報窃取を目的とした「標的型」に大別することができ る���.�
「マスメール型」は愉快犯的なウイルスも含まれてお り,その脅威は件数のみで判断できない.一方で,「標的 型」はその目的から明らかに悪意のある場合が多いと考 えられ,今日も重大なセキュリティインシデントを発生 させている.そのため,ウイルス届出件数が減少してい
る現在においてもウイルスの脅威は決して減少していな い.�
なお,ウイルス感染の届出件数は,���� 年の ������
件から右肩下がりで減少し,���� 年には ������ 件まで減 少している���.しかしながら,重大な情報漏えい事件は むしろ増加しており���,ウイルスの危険性や脅威は件数 からはまったく判断できないことが分かる.あらゆる組 織が情報化した今,少数の攻撃が過去に例を見ないほど の重大なインシデントを発生させており,脅威の総量は むしろ増大しているといってよい.�
�����標的型攻撃メールの攻撃方法とその防
衛としての予防接種�
標的型攻撃メールの特徴は,前述のように「マスメー ル型」とは異なり特定の組織や個人を狙っているという ことである.メールを攻撃対象者に信用させ,添付ファ イルを開かせることができれば前段階の攻撃は成功であ る.次に,添付ファイルがシステムの脆弱性を突いてワ ーム等を送り込むことができれば攻撃はほぼ成功したこ とになる.攻撃者としては,まずは前段階の攻撃を成功 させなくてはならず,それには対象者を考慮した事前の 準備が必須となる.なお,メールヘッダやコードパター ンの解析によりある程度の防衛は可能であるが完全に防
ぐことはできない������.ウイルス対策ソフトウェアの定 義ファイルに含まれないコードパターンは事前検知が不 可能であるが,悪質なコードとの類似性によりある程度 の対策は可能である.ただし,必要なメールが誤検知さ れることもあるため,検知に用いるしきい値設定は一般 ユーザには難しい作業となる������.�
攻撃者はあらかじめ対象者についての何らかの情報を 収集していると考えられる����.例えば,対象者の業務 内容や人的ネットワーク等である.それらの情報から,
攻撃者は信用に足るメール文面を生成する.通知文等の 定型文を流用した,やや「マスメール型」的な標的型攻 撃メールも存在しているが,対象者像を想定してメール を送り付ける点では,信用に足るメール文面となること には違いはない����.その点はフィッシングメールと同 じ手法となるが����,より文面が巧妙である傾向がある とされる.�
また,添付されるファイルは,��� や ���� など日常 的に頻繁に利用するファイル形式であるため����,対象 者が脅威に感じにくいのも対策の難しさのひとつとなっ ている����.メールクライアントのスパムフィルタは統 計的な手法を用いる場合については,その効果も限定的 なものとなる��������.�
�
�
表� � 階層毎のセキュリティ対策�
階層� 対応策� 効果/欠点�
ネットワーク�
� ネットワーク監視� ○:既知の脆弱性や不審な通信の検知�
×:未知の脆弱性や正常な通信での悪用�
� ネットワーク構成の最適化� ○:被害範囲の最小化�
� ファイアウォールの設定(������� 双方の 通信制御)�
� プロキシや� ����メールフィルタリング�
○:正常でない通信先やプロトコルの悪用を阻止�
×:正常な通信先やプロトコルでの悪用は阻止 できない�
� 各種ログのモニタリング� ○:被害の早期発見�
サーバ� � ��� やサーバアプリケーションのセキュリ ティ修正プログラム適用�
○:既知の脆弱性�
×:未知の脆弱性�
� 要塞化� ○:未知の脆弱性の被害低減�
クライアント���
� ��� のセキュリティ修正プログラム適用�
� クライアントソフトウェア(���,��� 等)�
のセキュリティアップデート�
� セキュリティ設定による機能制限�
○:既知の脆弱性�
×:未知の脆弱性�
� アンチウイルスソフトウェア� ○:既知のウイルス�
×:未知のウイルス�
人�
� セキュリティ教育� ○:情報セキュリティリテラシーの向上�
△:全員には行き届かない�
� インシデントレスポンス体制の確立� ○:事故発生時の被害最小化�
△:全員には行き届かない�
� セキュリティ事故を想定した訓練�
○:体験型学習による免疫効果やエスカレーショ ン体制が機能するか確認�
△:全員には行き届かない�
�
そこで,無防備に近い対象者を標的型攻撃メールから 防衛するには,「予防接種」としてあらかじめ擬似的に攻 撃を体験し,個人もしくは組織に「抗体」を生成するの が肝要である����.潜在的対象者が,添付ファイルをむ やみに開かいないことや,�� やアプリケーションのア ップデートを怠らないなどを習慣とすれば,脅威も自ず と減少すると考えられ,ユーザの意識向上が最も効果的 であるとされる����.ただし,抗体の効果は長続きしな いとも考えられ,定期的に予防接種を行い続ける必要が ある.�
���模擬攻撃の予備実験�
本学職員への模擬標的型攻撃メールの送信を控え,著 者の受け持つ学生への標的型攻撃メールの予備実験を行 った例を報告する.単発のみの配信であるため,予防接 種としての効果は算定できないが,一斉送信における解 析方法および問題点を確認するために実施した.�
�����本学学生に対する標的型攻撃メールの
予備実験の実施�
一般教養科目および共通科目を履修している学生 ���
名(文系学部・��~�� 歳)に対して,標的型攻撃メール を模したメールを,大学が提供した学生メールアドレス 宛てに一斉送信し,開封状況等を観察した.なお,講義 中には,昨今のセキュリティ事情として標的型攻撃メー ルについて触れており,送信元ドメイン等の確認は怠ら ないよう注意をしてある.�
メールの配信は,学外ドメインを持つホスティングサ ーバの���� とメール配信ソフトである� �����������������
����� を利用して一斉送信した.送信元のドメインは普段 教員から送られるものとは異なるようにした.危険なメ ールを判別するためのヒントとするためである.�
メールの文面は図� �� のように記載し,期末テストに関 連する内容とした.文面冒頭には,メール配信ソフトの 文字列差し込み機能を利用して,学生(攻撃対象者)の 所属と氏名を入れた.テスト期間に近い時期だったため,
学生にとっては極めて関心の高い内容である.添付ファ イルを解凍すると,期末テストに関する情報が得られる との指示を記載している.�
添付ファイルは,�������� 実行ファイルをリネームし て添付した.実行ファイルは,実行したことを記録する ため既定のブラウザを起動して,プリセットされた���
の��� サーバにアクセスする.記録内容は,通常の ���
アクセスログおよび実行時に利用している�� 名やログ インユーザ名等とした.ここで,添付した実行ファイル
をリネームした理由としては,本学学生が利用している�
������ が� ������ を受け付けないための措置である.� 実行ファイルを起動すると,図� �� のようにブラウザ画 面が表示される.教育的効果を狙って,一見恐怖心を煽 る画像を挿入している.文面としては,「送信元のドメイ ンを確認せず,うかつに添付ファイルを開いてはいけま せん」という趣旨である.�
メールの配信時間は平日午後� 時とし,その後 �� 時間 を添付ファイル開封調査時間帯とした.�
�
� 図� � 模擬標的型攻撃メールの文面�
�
� 図� � 模擬標的型攻撃メールの起動時に表示され
る��� 画面�
る現在においてもウイルスの脅威は決して減少していな い.�
なお,ウイルス感染の届出件数は,���� 年の ������
件から右肩下がりで減少し,���� 年には ������ 件まで減 少している���.しかしながら,重大な情報漏えい事件は むしろ増加しており���,ウイルスの危険性や脅威は件数 からはまったく判断できないことが分かる.あらゆる組 織が情報化した今,少数の攻撃が過去に例を見ないほど の重大なインシデントを発生させており,脅威の総量は むしろ増大しているといってよい.�
�����標的型攻撃メールの攻撃方法とその防
衛としての予防接種�
標的型攻撃メールの特徴は,前述のように「マスメー ル型」とは異なり特定の組織や個人を狙っているという ことである.メールを攻撃対象者に信用させ,添付ファ イルを開かせることができれば前段階の攻撃は成功であ る.次に,添付ファイルがシステムの脆弱性を突いてワ ーム等を送り込むことができれば攻撃はほぼ成功したこ とになる.攻撃者としては,まずは前段階の攻撃を成功 させなくてはならず,それには対象者を考慮した事前の 準備が必須となる.なお,メールヘッダやコードパター ンの解析によりある程度の防衛は可能であるが完全に防
ぐことはできない������.ウイルス対策ソフトウェアの定 義ファイルに含まれないコードパターンは事前検知が不 可能であるが,悪質なコードとの類似性によりある程度 の対策は可能である.ただし,必要なメールが誤検知さ れることもあるため,検知に用いるしきい値設定は一般 ユーザには難しい作業となる������.�
攻撃者はあらかじめ対象者についての何らかの情報を 収集していると考えられる����.例えば,対象者の業務 内容や人的ネットワーク等である.それらの情報から,
攻撃者は信用に足るメール文面を生成する.通知文等の 定型文を流用した,やや「マスメール型」的な標的型攻 撃メールも存在しているが,対象者像を想定してメール を送り付ける点では,信用に足るメール文面となること には違いはない����.その点はフィッシングメールと同 じ手法となるが����,より文面が巧妙である傾向がある とされる.�
また,添付されるファイルは,��� や ���� など日常 的に頻繁に利用するファイル形式であるため����,対象 者が脅威に感じにくいのも対策の難しさのひとつとなっ ている����.メールクライアントのスパムフィルタは統 計的な手法を用いる場合については,その効果も限定的 なものとなる��������.�
�
�
表� � 階層毎のセキュリティ対策�
階層� 対応策� 効果/欠点�
ネットワーク�
� ネットワーク監視� ○:既知の脆弱性や不審な通信の検知�
×:未知の脆弱性や正常な通信での悪用�
� ネットワーク構成の最適化� ○:被害範囲の最小化�
� ファイアウォールの設定(������� 双方の 通信制御)�
� プロキシや� ����メールフィルタリング�
○:正常でない通信先やプロトコルの悪用を阻止�
×:正常な通信先やプロトコルでの悪用は阻止 できない�
� 各種ログのモニタリング� ○:被害の早期発見�
サーバ� � ��� やサーバアプリケーションのセキュリ ティ修正プログラム適用�
○:既知の脆弱性�
×:未知の脆弱性�
� 要塞化� ○:未知の脆弱性の被害低減�
クライアント���
� ��� のセキュリティ修正プログラム適用�
� クライアントソフトウェア(���,��� 等)�
のセキュリティアップデート�
� セキュリティ設定による機能制限�
○:既知の脆弱性�
×:未知の脆弱性�
� アンチウイルスソフトウェア� ○:既知のウイルス�
×:未知のウイルス�
人�
� セキュリティ教育� ○:情報セキュリティリテラシーの向上�
△:全員には行き届かない�
� インシデントレスポンス体制の確立� ○:事故発生時の被害最小化�
△:全員には行き届かない�
� セキュリティ事故を想定した訓練�
○:体験型学習による免疫効果やエスカレーショ ン体制が機能するか確認�
△:全員には行き届かない�
�
そこで,無防備に近い対象者を標的型攻撃メールから 防衛するには,「予防接種」としてあらかじめ擬似的に攻 撃を体験し,個人もしくは組織に「抗体」を生成するの が肝要である����.潜在的対象者が,添付ファイルをむ やみに開かいないことや,�� やアプリケーションのア ップデートを怠らないなどを習慣とすれば,脅威も自ず と減少すると考えられ,ユーザの意識向上が最も効果的 であるとされる����.ただし,抗体の効果は長続きしな いとも考えられ,定期的に予防接種を行い続ける必要が ある.�
���模擬攻撃の予備実験�
本学職員への模擬標的型攻撃メールの送信を控え,著 者の受け持つ学生への標的型攻撃メールの予備実験を行 った例を報告する.単発のみの配信であるため,予防接 種としての効果は算定できないが,一斉送信における解 析方法および問題点を確認するために実施した.�
�����本学学生に対する標的型攻撃メールの
予備実験の実施�
一般教養科目および共通科目を履修している学生 ���
名(文系学部・��~�� 歳)に対して,標的型攻撃メール を模したメールを,大学が提供した学生メールアドレス 宛てに一斉送信し,開封状況等を観察した.なお,講義 中には,昨今のセキュリティ事情として標的型攻撃メー ルについて触れており,送信元ドメイン等の確認は怠ら ないよう注意をしてある.�
メールの配信は,学外ドメインを持つホスティングサ ーバの���� とメール配信ソフトである� �����������������
����� を利用して一斉送信した.送信元のドメインは普段 教員から送られるものとは異なるようにした.危険なメ ールを判別するためのヒントとするためである.�
メールの文面は図� �� のように記載し,期末テストに関 連する内容とした.文面冒頭には,メール配信ソフトの 文字列差し込み機能を利用して,学生(攻撃対象者)の 所属と氏名を入れた.テスト期間に近い時期だったため,
学生にとっては極めて関心の高い内容である.添付ファ イルを解凍すると,期末テストに関する情報が得られる との指示を記載している.�
添付ファイルは,�������� 実行ファイルをリネームし て添付した.実行ファイルは,実行したことを記録する ため既定のブラウザを起動して,プリセットされた���
の��� サーバにアクセスする.記録内容は,通常の ���
アクセスログおよび実行時に利用している�� 名やログ インユーザ名等とした.ここで,添付した実行ファイル
をリネームした理由としては,本学学生が利用している�
������ が� ������ を受け付けないための措置である.�
実行ファイルを起動すると,図� �� のようにブラウザ画 面が表示される.教育的効果を狙って,一見恐怖心を煽 る画像を挿入している.文面としては,「送信元のドメイ ンを確認せず,うかつに添付ファイルを開いてはいけま せん」という趣旨である.�
メールの配信時間は平日午後� 時とし,その後 �� 時間 を添付ファイル開封調査時間帯とした.�
�
� 図� � 模擬標的型攻撃メールの文面�
�
� 図� � 模擬標的型攻撃メールの起動時に表示され
る��� 画面�
�����予備実験の結果と考察�
予備実験の結果,開封者は��� 名中 �� 名であり,開封 率���となった.当初 ���を超えるものと想定していた が大きく下回ることとなった.�
しかし,後日の聞き取り調査の結果,未開封者の中に は,そもそも大学が提供しているメールを利用していな い者がいることが判明した.また,開封調査時間帯の��
時間では,アルバイト等でメールを確認できなかったケ ースがあったことも分かった.学生の生活リズムは,各 人で時間的に大きな振れ幅があるため,それらを考慮し た集計が必要だったと思われる.�
ただし,開封調査時間帯を多く取ると二重開封をカウ ントしてしまう可能性が高まる.そのため,職員に対す る予防接種においては,二重カウントを技術的に防ぐ仕 組みが必要であることが分かった.さらに,実行ファイ ルをリネームできなかった学生もおり,潜在的な開封者 も確認できたため,より簡単に開封者をカウントできる 仕組みも必要であった.�
なお,被験者の学生の感想としては,おおむね次のよ うなものであった.多数の同様の意見があったもののみ 列挙する.�
�
� 授業では標的型攻撃メールのことは聞いていたが,
まさか自分に来るとは思わなかった.�
� 焦って開いてしまった.�
� 送信元ドメインなど気に留めなかった.�
� 実際に攻撃を受けてみて,防衛がたいへん難しいこ とが分かった.�
�
特に,最後に記載した感想は,標的型攻撃メールの予 防接種を実施する前提として極めて有用だと考えられる.�
以上の予備実験による反省点を踏まえ,職員に対する 予防接種を実施した.�
���標的型攻撃メールの予防接種�
本学職員に対する標的型攻撃メールの予防接種は,株 式会社ラック� ����� の協力を仰ぎ,予備実験で得られた 反省点を改善した上で実施した.また,事前に学内上位 組織による承認を得た.�
�����予防接種の実施概要�
予防接種の実施概要を表� �� に示す.定時出勤前の ����
を目途に,事前に決定したメールアカウントへ予防接種 となる添付ファイル付きメールを配信する.その後,同
日夕方には開封者データの集計を打ち切る.同じフロー で� 週間の時間を置いて実施する.� 回行う理由として は,初回からの予防接種効果を確認するためである.�
なお,対象は��� 名であるが,一部は共用アドレス化 しているため,同一メールを複数人が閲覧する可能性が ある.後述する��� ビーコンの仕様により開封者数を二 重カウントすることはない.しかし,共用する誰かが開 封するとカウントされてしまう.�
予防接種後は,全職員向けにセキュリティ講習を実施 し標的型攻撃メールについてはもちろんのこと,近年の セキュリティ事故などについての知識を新たにしてもら うこととした.�
�
表� � 予防接種の概要�
項目� 内容�
対象�
本学事務系職員��� 名(常勤・契約職員・パ ート職員)� ただし,メールアカウントは複 数職員で共用している場合がある.�
目的�
擬似的な標的型メール攻撃を実施して組織 としての開封率などの指標を調べる.また,
これを体験することで各個人に耐性をつけ,
その結果として組織の耐性を向上させる�
方法�
添付ファイルには,マルウェアの代わりに�
���� 文書に ���� ビーコンを仕込んだ擬似 攻撃メールを配信し,���� ビーコンのログ から添付ファイルの開封状況を計測する.�
分析�
���� ビーコンから得られた基礎データから 以下の解析結果を得る.�
開封者数/開封日時/開封率/非開封率/
時系列の開封状況/対象者の属性� 等�
実施日時�
・第� 回メール配信� ���� 年 � 月 � 日� �����
模擬訓練であることを通知� 同日� ������
・第� 回メール配信� ���� 年 � 月 �� 日� �����
模擬訓練であることを通知� 同日� ������
�����模擬攻撃メールの文面�
メールの文面は,対象者に攻撃であることを感じさせ ないことが重要である.今回は,表� �� および� 表� �� に示 すように,社会情勢や情報セキュリティ事情に合わせた 内容とした.�
送信元のドメインは,本学職員にとっては初見であり,
これまでの情報セキュリティ講習の経験のある者であれ ば当然注意するはずの情報である.メールクライアント は職員で統一したものを利用しており,送信元ドメイン の確認は容易なインターフェースとなっている.�
標的型攻撃メールを判別するには,以下について意識 しておく必要がある.�
� 差出人の名前やアドレスが,見慣れないものである.�
� 組織内の話題なのに,外部のメールアドレスから届 いている.�
� 添付ファイルを開くよう不自然に誘導している.�
� 急がせて,メールの内容を吟味させまいとしている.�
� 差出人の署名や名乗りが無いか曖昧である.�
� 架空の差出人の名前や組織名を名乗っている.�
�
表� �� 第 � 回メール配信の文面�
�������� 事業継続計画の定期見直し�
����� 危機管理・災害対策本部� �����������������������
��������
一斉メール:危機管理・災害対策本部です.�
������ 年 �� 月 ��� 日に発生した東北地方太平洋沖 地震では,計画停電や公共交通機関の大幅な乱 れにより出勤が困難な状況となりました.� つきましては,災害発生時の緊急対応方法につ いて事業継続計画の見直しを行うこととしまし たので,添付ファイルの指示に従って現状の調 査にご協力をお願いします.�
現状調査の項目には,各自の通勤経路�災害時の 帰宅経路含む�� の項目もありますので,全員の回 答が必要です.�
よろしくお願いします.�
�
一斉メール:危機管理・災害対策本部�
������� 事業継続計画現状確認シート�������
�
表� �� 第 � 回メール配信の文面�
�������� 至急:� ���� に関する注意喚起�
����� 情報化推進本部� �����������������������
�������� 各位�
�
最近,���� ファイルを送りつけることで,ソフ トの未発見のセキュリティホールを突いて侵入 を試みる事例が激増しています.�
多くの場合は適切な設定をしておくことで危険 を回避できるものですので,添付の確認手順に したがってお手元の� ��� の設定を至急点検し,
より安全な設定にしていただきますようにお願 いします.�
�
情報化推進本部�
������� 点検手順������
�������� ビーコンによるロガー�
予備実験では,実行ファイルにより開封者データをロ ガーしたが,予防接種においては��� ビーコン� ����� を
���� ファイルに埋め込んだ.さらに,各添付ファイルに は特定の�� を仕込むことで個人の特定を確実にした.
��� ビーコンを仕込むことで ���� ファイルの挙動が変 わることはなく,職員(対象者)にとっては通常の文書 を読むのと何ら変わることはない.�
ところで,職員が利用する�� にはセキュリティ対策 ソフトが導入されており,通信の常時監視により不正な トラフィックはブロックする仕様である.��� ビーコン の通信もブロック対象になる可能性もあったが,本学の 使っているセキュリティ対策ソフトでは反応しなかった.�
参考として図� �に��� ビーコンを仕込んだ���� ファ イルを���� したキャプチャを示す.四角で囲った部分 から分かるように,ファイルを開くと特定の��� にア クセスするようになっている.�
�
図� �� ��� ビーコンを含んだ ���� ファイル� �
�����訓練であることの周知�
予防接種は業務中に実施するため,それによって業務 を混乱させてはならない.すみやかに模擬訓練であるこ とを知らせるために,添付ファイルには� 図� �� のように
「標的型偽装メールの実施ついて」として,模擬訓練で あることを学内承認済みであることと共に明記した.こ の通知を行わないと,情報担当部署に大量の問い合わせ が寄せられたり,苦情や思わぬトラブルが発生する可能 性がある.�
�
� 図� �� 訓練であったことを明示�
���結果と考察�
予防接種当日,大きな混乱は無かったものの,職員の 中には不審メールに気づき,開封の可否を情報担当部署
�����予備実験の結果と考察�
予備実験の結果,開封者は��� 名中 �� 名であり,開封 率���となった.当初 ���を超えるものと想定していた が大きく下回ることとなった.�
しかし,後日の聞き取り調査の結果,未開封者の中に は,そもそも大学が提供しているメールを利用していな い者がいることが判明した.また,開封調査時間帯の��
時間では,アルバイト等でメールを確認できなかったケ ースがあったことも分かった.学生の生活リズムは,各 人で時間的に大きな振れ幅があるため,それらを考慮し た集計が必要だったと思われる.�
ただし,開封調査時間帯を多く取ると二重開封をカウ ントしてしまう可能性が高まる.そのため,職員に対す る予防接種においては,二重カウントを技術的に防ぐ仕 組みが必要であることが分かった.さらに,実行ファイ ルをリネームできなかった学生もおり,潜在的な開封者 も確認できたため,より簡単に開封者をカウントできる 仕組みも必要であった.�
なお,被験者の学生の感想としては,おおむね次のよ うなものであった.多数の同様の意見があったもののみ 列挙する.�
�
� 授業では標的型攻撃メールのことは聞いていたが,
まさか自分に来るとは思わなかった.�
� 焦って開いてしまった.�
� 送信元ドメインなど気に留めなかった.�
� 実際に攻撃を受けてみて,防衛がたいへん難しいこ とが分かった.�
�
特に,最後に記載した感想は,標的型攻撃メールの予 防接種を実施する前提として極めて有用だと考えられる.�
以上の予備実験による反省点を踏まえ,職員に対する 予防接種を実施した.�
���標的型攻撃メールの予防接種�
本学職員に対する標的型攻撃メールの予防接種は,株 式会社ラック� ����� の協力を仰ぎ,予備実験で得られた 反省点を改善した上で実施した.また,事前に学内上位 組織による承認を得た.�
�����予防接種の実施概要�
予防接種の実施概要を表� �� に示す.定時出勤前の ����
を目途に,事前に決定したメールアカウントへ予防接種 となる添付ファイル付きメールを配信する.その後,同
日夕方には開封者データの集計を打ち切る.同じフロー で� 週間の時間を置いて実施する.� 回行う理由として は,初回からの予防接種効果を確認するためである.�
なお,対象は��� 名であるが,一部は共用アドレス化 しているため,同一メールを複数人が閲覧する可能性が ある.後述する��� ビーコンの仕様により開封者数を二 重カウントすることはない.しかし,共用する誰かが開 封するとカウントされてしまう.�
予防接種後は,全職員向けにセキュリティ講習を実施 し標的型攻撃メールについてはもちろんのこと,近年の セキュリティ事故などについての知識を新たにしてもら うこととした.�
�
表� � 予防接種の概要�
項目� 内容�
対象�
本学事務系職員��� 名(常勤・契約職員・パ ート職員)� ただし,メールアカウントは複 数職員で共用している場合がある.�
目的�
擬似的な標的型メール攻撃を実施して組織 としての開封率などの指標を調べる.また,
これを体験することで各個人に耐性をつけ,
その結果として組織の耐性を向上させる�
方法�
添付ファイルには,マルウェアの代わりに�
���� 文書に ���� ビーコンを仕込んだ擬似 攻撃メールを配信し,���� ビーコンのログ から添付ファイルの開封状況を計測する.�
分析�
���� ビーコンから得られた基礎データから 以下の解析結果を得る.�
開封者数/開封日時/開封率/非開封率/
時系列の開封状況/対象者の属性� 等�
実施日時�
・第� 回メール配信� ���� 年 � 月 � 日� �����
模擬訓練であることを通知� 同日� ������
・第� 回メール配信� ���� 年 � 月 �� 日� �����
模擬訓練であることを通知� 同日� ������
�����模擬攻撃メールの文面�
メールの文面は,対象者に攻撃であることを感じさせ ないことが重要である.今回は,表� �� および� 表� �� に示 すように,社会情勢や情報セキュリティ事情に合わせた 内容とした.�
送信元のドメインは,本学職員にとっては初見であり,
これまでの情報セキュリティ講習の経験のある者であれ ば当然注意するはずの情報である.メールクライアント は職員で統一したものを利用しており,送信元ドメイン の確認は容易なインターフェースとなっている.�
標的型攻撃メールを判別するには,以下について意識 しておく必要がある.�
� 差出人の名前やアドレスが,見慣れないものである.�
� 組織内の話題なのに,外部のメールアドレスから届 いている.�
� 添付ファイルを開くよう不自然に誘導している.�
� 急がせて,メールの内容を吟味させまいとしている.�
� 差出人の署名や名乗りが無いか曖昧である.�
� 架空の差出人の名前や組織名を名乗っている.�
�
表� �� 第 � 回メール配信の文面�
�������� 事業継続計画の定期見直し�
����� 危機管理・災害対策本部� �����������������������
��������
一斉メール:危機管理・災害対策本部です.�
������ 年 �� 月 ��� 日に発生した東北地方太平洋沖 地震では,計画停電や公共交通機関の大幅な乱 れにより出勤が困難な状況となりました.� つきましては,災害発生時の緊急対応方法につ いて事業継続計画の見直しを行うこととしまし たので,添付ファイルの指示に従って現状の調 査にご協力をお願いします.�
現状調査の項目には,各自の通勤経路�災害時の 帰宅経路含む�� の項目もありますので,全員の回 答が必要です.�
よろしくお願いします.�
�
一斉メール:危機管理・災害対策本部�
������� 事業継続計画現状確認シート�������
�
表� �� 第 � 回メール配信の文面�
�������� 至急:� ���� に関する注意喚起�
����� 情報化推進本部� �����������������������
��������
各位�
�
最近,���� ファイルを送りつけることで,ソフ トの未発見のセキュリティホールを突いて侵入 を試みる事例が激増しています.�
多くの場合は適切な設定をしておくことで危険 を回避できるものですので,添付の確認手順に したがってお手元の� ��� の設定を至急点検し,
より安全な設定にしていただきますようにお願 いします.�
�
情報化推進本部�
������� 点検手順������
�������� ビーコンによるロガー�
予備実験では,実行ファイルにより開封者データをロ ガーしたが,予防接種においては��� ビーコン� ����� を
���� ファイルに埋め込んだ.さらに,各添付ファイルに は特定の�� を仕込むことで個人の特定を確実にした.
��� ビーコンを仕込むことで ���� ファイルの挙動が変 わることはなく,職員(対象者)にとっては通常の文書 を読むのと何ら変わることはない.�
ところで,職員が利用する�� にはセキュリティ対策 ソフトが導入されており,通信の常時監視により不正な トラフィックはブロックする仕様である.��� ビーコン の通信もブロック対象になる可能性もあったが,本学の 使っているセキュリティ対策ソフトでは反応しなかった.�
参考として図� �に��� ビーコンを仕込んだ���� ファ イルを���� したキャプチャを示す.四角で囲った部分 から分かるように,ファイルを開くと特定の ��� にア クセスするようになっている.�
�
図� �� ��� ビーコンを含んだ ���� ファイル� �
�����訓練であることの周知�
予防接種は業務中に実施するため,それによって業務 を混乱させてはならない.すみやかに模擬訓練であるこ とを知らせるために,添付ファイルには� 図� �� のように
「標的型偽装メールの実施ついて」として,模擬訓練で あることを学内承認済みであることと共に明記した.こ の通知を行わないと,情報担当部署に大量の問い合わせ が寄せられたり,苦情や思わぬトラブルが発生する可能 性がある.�
�
� 図� �� 訓練であったことを明示�
���結果と考察�
予防接種当日,大きな混乱は無かったものの,職員の 中には不審メールに気づき,開封の可否を情報担当部署
に問い合わせるケースが� 件ほどあった.また,部署に よっては先に開封してしまった者が他者に開封を留まら せるなどのケースもあった.�
�����時系列の開封率�
図� �� に時系列の開封状況を示す.本学の開封状況を比 較するため,他組織平均のデータを����より引用した.
他組織については,表� � における他組織 �� ~� �� であり,
いずれも同様の標的型攻撃メール予防接種を実施した日 本国内の一般企業である.�
図中において,本学の開封率は� ◆� で示し,他組織平 均は� ○� で示している.開封者数比(縦軸)は,擬似攻 撃メール配信時刻から��� 分刻みでその ��� 分間の内に 開封した被験者が全開封者に占める比率を示している.
経過時間(横軸)は,擬似攻撃メール配信時刻から�� 時 間刻みでの経過時間を示している.�
他組織平均では全開封者のうちの半数が開封するまで に,擬似攻撃メール配信後およそ��� 分間しかかかって いないことがわかる.今回の配信は����� に行っており,
平均累積開封者数比の傾向より緩やかな経過をたどるも のの,�� 時間経過した時点で今回の開封者のうちの �� 割 程度がすでに開封している.一般的にも,メールを受信 した直後に多くの開封者が開封しているという傾向があ り,標的型メール攻撃への対策として人間が介在して情 報集約するような仕組みでは間に合わない可能性が高い と考えられる.�
やはり,スパム対策などの入口対策・� ��� やソフトウ ェアのアップデートなどのデスクトップでの対策・���
(��������������������:情報漏えい防止策)� などの出口 対策を組み合わせて実施する必要があるといえる.�
�����各開封パターンによる開封率�
開封率は各開封パターンで集計した.各パターンとは,
第� 回および第 � 回の開封者,両方の回の開封者,第 � 回もしくは第� 回のみの開封者,非開封者である.表� ��
では全被験者を対象にこれら各パターンの開封率を他組 織平均の情報と併せて示している.�
表� �� は,予防接種実施後に行ったアンケート(表� �� お よび� 表� �� 参照)の回答者のみを対象に集計した結果で ある.なお,アンケート回答者数は��� 名中 �� 名であっ た.�
今回の予防接種では�� 回目は �����,�� 回目は �����
の開封率であり,他組織平均と比較して高い傾向にあっ た.特に,�� 回目 �� 回目とも開封した被験者の割合が全 体の�� 割近くであり,他組織平均と比較して高い値であ るといえる.�
今回の予防接種は初めてだったため,標的型攻撃メー ルへの耐性が低い被験者が多い可能性があり,継続した 注意喚起や教育訓練の実施など対人間向けの教育を充実 させることで組織の意識レベルのさらなる向上を図る必 要がある.�
また,攻撃が実際に行われた場合,それが届いたこと を規程に従って報告させ,それを集約して警告を出すよ うな対応策では時間的に間に合わない.�
さらに,対象者からのアンケートでも業務関係のメー ルは違和感を覚えても開封する傾向が判明しており,被 害を最小限にとどめるためには人的対策と組み合わせて スパム対策などの入口対策といった多層防御の考え方に よる防御態勢を整えることが求められる.�
�����被験者属性と開封率�
表� �� に本学の被験者アンケート結果について,その選 択肢毎に各回配信の開封者数・非開封者数を集計した結 果を示す.どのグループの開封率が高いといった,有意 な差や傾向は認められなかった.�
他組織では,メール習熟度・平日� 日当たりのメール 数・� 時間当たりの処理メール通数・予防接種経験の有 無・業務関連度� 等で強い相関関係を示した例もある.し かしながら,本学ではこれらの属性については強い相関 は認められなかった.�
年齢層についてはやや有意な結果が出ており,全年齢 層の中で�� 代の開封率が低いことが分かる.この年代は
�� と業務に熟練した人材が多く,セキュリティに関する 知識も十分であった可能性がある.�� 代については,勤 続期間の短いパートタイム職員が含まれるため,�� や業 務に関して未熟である場合が考えられる.高齢の職員に ついては,情報セキュリティについて知識はもとより,
�� 全般に関するリテラシーの意識に乏しい可能性が極 めて高い����.�
�����被験者の感想�
表� �� にアンケートの回答から得られた被験者の感想 の一部を挙げる.職員に対しては,標的型攻撃メールの 危険性について,日常的にポスターや講習等で周知して いた.そのため,その存在自体は知っていたものの,実 際の攻撃には無力であったとの感想が散見された.�
�
�
� 図� � 時系列開封状況�
�
表� � 各開封パターンによる開封率(全被験者)�
� 被験者数�
第� 回� 開封者�
第� 回� 開封者�
両回� 開封者�
第� 回のみ� 開封者�
第� 回のみ�
開封者� 非開封者�
開封� 減少率� 本 学� ���� ���
������
���
������
���
������
���
������
���
������
���
������� ������ 他組織�� ������ ����
������
����
�����
���
�����
���� �
������
����
�����
������
������� ������ 他組織�� ���� ����
������
���
�����
��
�����
���
������
���
�����
����
������ ������ 他組織�� ���� ����
������
���
�����
���
�����
����
������
��
�����
����
������ ������ 他組織�� ���� ���
������
���
������
���
������
���
������
���
������
����
������ ������ 他組織�� ���� ���
������
���
������
��
�����
���
������
���
������
���
������ ������
�
表� � 各開封パターンによる開封率(アンケート回答者)�
� アンケート� 回答者数�
第� 回� 開封者�
第� 回� 開封者�
両回� 開封者�
第� 回のみ� 開封者�
第� 回のみ�
開封者� 非開封者�
開封� 減少率� 本 学� ��� ���
������ ���
������ ��
������ ��
������ ��
������ ���
������ ������ 他組織�� ����� ����
������ ���
����� ���
����� ����
������ ���
����� ����
������ ������ 他組織�� ���� ���
������ ��
����� ��
����� ���
������ ��
����� ����
������ ������ 他組織�� ��� ���
������ ��
����� ��
����� ���
������ ��
����� ���
������ ������ 他組織�� ��� ���
������ ��
������ ��
������ ��
������ ��
����� ���
������ ������ 他組織�� ��� ���
������ ��
������ ��
����� ���
������ ��
������ ���
������ ������
� �
0% 20% 40% 60% 80% 100%
0 1 2 3 4 5 6 7 8 9
累計開封者数比(%)
擬似攻撃メール配信後の経過時間(時) 本学
他組織平均
