第17回 「標的型メール訓練」がもてはやされる理由:日本型セキュリティの現実と理想(2/3 ページ)
水際で攻撃を防ぐ標的型メールの訓練
さて、話を「標的型メール訓練」に戻そう。標的型攻撃のプロセスにおいて、メールでマルウェアを送りつけることは、「初期侵入段階」にあたる。他にもUSBメモリや悪意あるWebページからのマルウェア感染の可能性もあるが、USBメモリはPCにUSBメモリを挿入するという物理的な方法が問題になる。メール経由で悪意あるWebページへの誘導が多いことを考えると、メールという媒体への対策ができれば、それなりに有効な対策となる。
訓練を続けて怪しいメールに添付されたファイルを開かないようにすれば、それだけマルウェア感染から始まる確率の高い標的型攻撃を防げるというのは、それなりに理にかなった考えだ。
しかし、セキュリティ専門家の一般的な意見は「標的型メール訓練が標的型攻撃の抜本的な対策にはならない」であるようだ。その理由は幾つかあるが、最大の要因は訓練の目的が「開封率を下げること」になってしまっていることだ。
なぜかと言うと、「標的型メール訓練」のサービスを行う業者は、メール開封率を下げなければ、そのサービスの効果を顧客に説明できない。そのため、訓練では同じような擬似的な攻撃メールを何度か送付すること、開封率を下げるようにする可能性がある。しかし、実際の攻撃者はソーシャルハッキングのような方法も組み合わせてより巧妙なメールを使い、ターゲットの開封率を上げるようにする。メールだけでなくさまざまな手法も組み合わせて潜入を試みる。つまり、訓練の対象をメールに限定している限り、標的型攻撃全体から見たその対策効果は限定的だと言わざるを得ない。
それに、この訓練における最大のネックは、どれだけがんばってもメールの開封率がゼロにはならないことだ。例えば、メールを開封したのが最初の100人から最後は5人になった場合、一見すると95%の効果があったように思える。しかし、1人にまで減ったとしても、その人が役員のような高いレベルの権限を持っている場合や、Active Directoryの管理権限を持っていた場合は、それだけで攻撃者が最終ゴールの手前にまで一気にたどり着けてしまう。いくら開封率を減らしたところで、“本丸”に通じる道筋に直接つながっている1人が開封してしまえば、攻撃者の目的はほぼ達成されてしまうわけだ。
なお、このことはセキュリティ業界の著名人で、筆者の友人でもあるソフトバンク・テクノロジーの辻申弘氏が非常に詳しい。テレビやセミナーなどで「標的型メール訓練」の是非についても、詳細に分かりやすく講演されているので、興味がある方は何かの機会に聴講されるとより理解が深まるだろう。
それでも「標的型メール訓練」が採用される理由
「標的型メール訓練」には一定の効果があるものの、高い技術力やノウハウを持つ攻撃者からの攻撃に対する防御の決定打になりづらい。しかし、このサービスは今後も採用され続けるだろう。開封率という数字が下がることは、サービスを提供するベンダーだけでなく、その導入を決めたセキュリティ担当者にとっても成果を証明できるので、うれしいからだ。
普段のセキュリティ担当者は非常に気の毒である。セキュリティ対策のための情報を収集し、技術を研鑽し、なすべきことを全て実行して情報漏えいなどのインシデントを未然に防いでも、周囲にとってそれは“平常”である。手放しで賞賛されて良いはずが、それでも事件や事故が起きないのは当たり前のことと見なされる。
そして、情報漏えいなどが起きてしまうと大変な事態に追われる。徹夜作業で原因究明し、対策を至急検討するようなこともしなければならない。原因が分かったら今度は再発防止策も必要になる。この全ては、セキュリティ担当者が非常に高いレベルの知見を生かし、地道な活動を続けることで、ようやく成し遂げられる。
しかし、それらの困難な障害の全てを乗り越え、完璧にやり遂げてもその後に待っているのは、インシデントを防げなかったというペナルティかもしれない。その高レベルでタフな作業に裏付けられた上であるということが理解されていたとしても、平常は平常でしかない。それを常に保ち続け、長期間にわって高い評価のままであり続けるということは難しいのかもしれない。
だからセキュリティ担当者には、たとえその効果が限定的だと知っていても、実施効果を数値的に証明できる稀有な「標的型メール訓練」を行うモチベーションは十分にある。着々と自社のセキュリティ対策が強化されていることを周囲に証明しなければならないのだ。これが「標的型メール訓練」の採用理由の全てではないが、昨今の“標的型攻撃ブーム”でこのサービスが急速に普及した大きな要因だと考えている。
関連記事
第16回 標的型攻撃が生んだセキュリティビジネスの“光と影”
セキュリティ業界が活況だ。APT攻撃とも呼ばれる2011年の事件をきっかけに、新たな光が射したが、その分だけ影も色濃く出てしまった。標的型攻撃からセキュリティビジネスの本質について述べる。
第11回 ファイアウォール今昔物語 標的型攻撃で花咲く次世代FW
仮に日本で標的型攻撃が起きなかったら、次世代ファイアウォールは世に出ず、ずっと“次世代”のままだっただろう。今回は次世代ファイアウォールの普及の道のりから日本のネットワークセキュリティ環境の遷移をひも解く。
第7回 15年以上の激闘! 満身創痍になったアンチウイルス
前回は全くの無防備の状態からセキュリティ対策の発端になったアンチウイルスが普及するまでの経緯を取り上げた。今回は現在のセキュリティ対策に至るまでのウイルスのその後を続けよう。
第4回 常時接続から始まったセキュリティ対策の“無間地獄”
連日のようにセキュリティの事故や事件が取り上げられ、守る側と攻める側との“いたちごっこ”の状態が続いている。なぜ、このような事態になったのか。今回はインターネットの歴史からひも解いてみたい。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
- OpenAI Japan設立 岸田首相への宣言から1年 日本語特化GPT提供へ 速度3倍コスト半減
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
ITmediaはアイティメディア株式会社の登録商標です。