標的型攻撃対策に効果的!標的型メール訓練サービスを実際に受けてみた

標的型攻撃とは、特定のターゲットに絞ってメールなどでサイバー攻撃を仕掛ける「標的型攻撃」。その多くがメールを利用して行われるため「標的型メール攻撃」と呼ばれることもあります。

最近では多くの情報漏洩事件の原因にもなっているこの攻撃は、2018年1月30日、IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威」において、「組織」の10大脅威部門の1位になっており、組織に属する方は確実に意識しておくべき攻撃手法です。

対策方法がわからないうちは不安に思うかもしれませんが、しっかりと特徴を捉えて日々意識して対策を行えば大丈夫です。

当記事では、その標的型メール攻撃の特徴や事件の事例、さらにその対策方法を整理しましたので、最後までじっくりお読みください。

標的型攻撃とは?

標的型攻撃とは、特定のターゲットに絞ってメールなどでサイバー攻撃を仕掛ける「標的型攻撃」。その多くがメールを利用して行われるため「標的型メール攻撃」と呼ばれることもあります。

この標的型攻撃の厄介なポイントは、そのほとんどが、ターゲットを特定して行われ、カード情報や銀行口座・仮想通貨、企業の機密情報などを搾取する目的で行われているということです。

サイバー攻撃に見られる「愉快犯」的なことを目的とした攻撃者はほとんどいないため、引っかかってしまうと、なんらかの情報が奪われ、企業として大きな損害が出てしまう可能性が高いため注意が必要な攻撃なのです。

標的型攻撃の被害事例

前述のとおり、IPAの「情報セキュリティ10大脅威」の1位になっていることからもわかるように、多くの情報漏洩事件の原因となっております。

少し前の事例になりますが、日本全体に大きな影響があった事件として「日本年金機構(2015年)」への標的型攻撃などが有名です。

その他にも大手企業を含め代表的な被害事例を紹介させていただきます。

1.日本年金機構(2015年)

日本年金機構九州ブロックに勤務する職員が、仕事の内容を偽った標的型メールを開封し、マルウェアに感染したことにより生じた事件です。日本年金機構では、外部のネットに接続したPCを使って個人情報を管理していたため、瞬く間に年金情報が流出。

公的機関では最大規模となる、125万件の情報漏洩事件に発展してしまいました。なお、流出事件以降も不審な電話勧誘に苦しむ被害者が多く、民間企業であれば本件だけで倒産していたであろうと言われています。

2.JTB

大手旅行会社JTBに勤務する従業員の1人が、取引先を偽装したメールを開封したことがきっかけで、標的型攻撃が実施された事件です。

被害規模はすさまじく、同社のデータベースに登録されていた顧客情報793万人分のデータを流出。氏名や住所等の基礎的な情報の他に、パスポート番号やパスポート取得日など、国籍情報に関わるデータが漏洩したことで知られています。

3.日本航空(JAL)(2014年)

日本航空(以下JAL)において、マイレージ会員の個人情報が、社内PCのウィルス感染により流出するという事件が起こりました。

社内調査により確定した個人情報流出件数は4131名分。

この事件は社外アドレスから社内の業務PCへ「マルウェア」が添付されたメールが送信されたことに始まります。

業界用語や専門用語が使用され、一見関係者と思える内容でメールが送られるこの様な手口(標的型攻撃)によるものと言われています。

標的型攻撃を防ぐためには

ここで紹介する対策方法は、あくまでも基本的なセキュリティ対策になります。

逆に言えば、その基本的なことをしっかりと行い、さらにはセキュリティの意識を高めていれば、標的型攻撃を防げる可能性は大幅に上がります。

まずはこちらを確認しましょう。

  • OS・ソフトウェアを最新の状態にして脆弱性のリスクを最小限にする
  • セキュリティ対策ソフトを導入する
  • 標的型攻撃を疑似体験する

OS・ソフトウェアを最新版にすることは、セキュリティ対策ソフトを導入することは、企業において最も基本的なセキュリティ対策と言ってよいでしょう。

そのような状況を保ったうえで、さらにセキュリティ対策は自分事にならないとなかなか意識しないという傾向があります。そのために「疑似体験(訓練サービス)」を定期的に行っておくことで、従業員の方々の意識が高まり、セキュリティ効果を数倍に上げると言われていますので、ぜひ組み合わせて実施することをお勧めします。

標的型メール訓練サービスを受けるメリット

標的型メール訓練サービスとは、従業員の方々に知らせずに標的型メールを送ります。意識の低い従業員の方が誤ってそのメールを開き、さらにはそのメールに記載されたURLをクリックすると、専用のホームページに誘導され、標的型メールに引っかかってしまったことを知らせます。

このような流れの訓練を行い、標的型メール(不審メール)によるマルウェア感染のリスク低減と組織における対処への理解を促進することができるのが、「標的型メール訓練サービス」です。

さらに具体的には、下記のようなメリット・効果があります。

標的型メールに気づくことができるようになる

毎日数多く届くメールの中から、標的型メールに気づくことができるようになり、メールの開封やメール内のURLのクリックによって、実際にマルウェアに感染してしまうリスクを低減することができます。

実際に標的型メールが届いた際の対応に困らない

まずメールに気づかない人が多いのが標的型メールの特徴ですが、実際にメールが届いた時に気づくことができるようになるのが最大の効果ですが、実際に届いた際にどのように対応すると良いかが判断できるようになるのも当訓練サービスの効果です。

セキュリティ意識の向上により、情報漏洩のリスクが減ります。

訓練を受けた社員を中心に、社員一人ひとりのセキュリティ意識この向上が図れ、標的型メールによるマルウェア感染や情報漏洩を減らすことができるようになります。

企業としてのサイバー攻撃への対策を行うためには、まず実施すべきトレーニングの一つです。

標的型メール訓練サービスを実際に受けてみた!

ここまで整理したように、IPSに10大脅威に指定されている「標的型攻撃」。全従業員がしっかりと注意しておかないと、被害をゼロにすることはなかなか難しいことが分かったかと思います。

少しでもその被害を抑え、情報漏洩のリスクを減らすためにも標的型メール訓練サービスを定期的に受けておく必要があるかと思い、自社でも実際に受けてみました!

訓練は、実際に従業員の方々のメールアドレスを知らせて、全員に標的型攻撃のようなメールを送信するだけ!

実際には下記のようなメールが送られてきました!

 

良く見ると送信元のメールアドレスはGmailですし、メールの最後に署名などもないし、怪しさ満点のメールなのですが、、

このように送られてくると不安になりクリックしてしまう人がいることは想定されます。

実際にある企業での実施事例では、送信した数に対して約20%の人がURLをクリックしてしまったというデータもあるのです。。。あなたの会社の従業員の方々は「大丈夫」と言い切れるでしょうか?

実際にURLをクリックすると、下記のようなページに飛んで訓練であったことが知らされます。このページを見ると「ハッ!!」してしまいますよね。

これまでセキュリティ対策を意識していなかった企業も、いろいろ対策をしてきた企業も、自社の従業員がどの程度の割合で標的型メールに引っかかってしまうかを、実際に測ってみるだけでも良いと思います。

ぜひ一度自社の従業員の方々のセキュリティ意識の高さを測るために実施することをお勧めします。

まとめ

いかがでしたでしょうか?

標的型攻撃の脅威と、その攻撃に対する対策を行っておくことの重要性がお伝え出来たのではないかと思います。

すぐにできる対策としては、下記の3つが考えられます。

  • OS・ソフトウェアを最新の状態にして脆弱性のリスクを最小限にする
  • セキュリティ対策ソフトを導入する
  • 標的型攻撃を疑似体験する

これらの3つの対策のなかでも、やはり従業員の意識を高めることが重要です。その意識を高めることに効果的なのが、上記の3つ目の「疑似体験(訓練サービス)」を受けるのが良いでしょう。

まずは一度実施してみて、現在の従業員のセキュリティ意識の高さを確認し、さらに定期的に受けることにより、徐々にセキュリティ意識を高めていくことをお勧めします。

標的型メール訓練サービスはこちら

関連記事

ピックアップ記事

  1. IPA(独立行政法人 情報処理推進機構)から発表された「情報セキュリティ10大脅威 2018」では組…
  2. 忙しいWebアプリケーションエンジニアのためのWebセキュリティ第一歩 Webセキュリティをどこで…
  3. 「ローカルプロキシツール(BurpSuite)の紹介」 ローカルプロキシツールの有効性 We…
ページ上部へ戻る