「人」を狙う攻撃に対し「人」にフォーカスした対策を提供、プルーフポイント：古典的なソーシャルエンジニアリングはいまだ有効

日本プルーフポイントは2018年7月25日、フィッシングメールやBECをシミュレーションして訓練を行い、ユーザーの行動を変えていくことを目的とした「People-Centric Security 脅威対策ソリューション」の提供を開始した。

[高橋睦美，ITmedia]

　メールセキュリティ製品を提供している日本プルーフポイントは2018年7月25日、フィッシングメールやビジネスメール詐欺（BEC）をシミュレーションし、ユーザーの行動を変えていくことを目的とした「People-Centric Security 脅威対策ソリューション」の提供を開始した。

　これまで提供してきたメールセキュリティ製品／サービスに「Phishing Simulation and Security Awareness」を組み合わせてクラウドサービスとして提供するもので、用途に応じて3つのパッケージが用意される。

日本プルーフポイント「Phishing Simulation and Security Awareness」

　プルーフポイントはこれまで、オンプレミス／クラウド両方で、マルウェアや不正なURLが含まれたメール、スパムメールなどをフィルタリングしたり、データへのアクセス制御を行ったりすることで、脅威の「予防」や「検知」を支援する製品／サービスを提供してきた。

　これに対し新サービスは、ユーザーの教育も含む「対応」にも踏み込んだものだ。プルーフポイントが実際に検知、ブロックしたメールを模しつつ、カスタマイズを加えた訓練メールを送信し、従業員が悪意あるメールを見抜く目を養うとともに、IT管理者／セキュリティ管理者に通知するといった適切な行動をとれるよう訓練する。

「人がターゲットになっている」とたびたび強調した米プルーフポイントのサイバーセキュリティ担当ディレクター、アデニケ・コスグローブ氏

　米プルーフポイントのサイバーセキュリティ担当ディレクター、アデニケ・コスグローブ氏は、「攻撃者がターゲットにしているのは『人』だ」と強調。「攻撃者にとって、ネットワークの脆弱（ぜいじゃく）性を悪用するのは、コストのかかる手段になっている。代わりに彼らは、検索エンジンでプレスリリースなどの公開情報を調べ、ターゲットとなる企業や組織にどんな人物がいるかを特定し、ソーシャルエンジニアリングを用いて目的を達成しようとする」（コスグローブ氏）。前世紀から使われてきた古典的な手法が、いまだに攻撃者に取っては有効な手段になっているという。

　特に狙われやすいのは、高い権限を持っていたり、重要なデータにアクセスしたりできるユーザーだ。実際、同社がある製造業でメール経由のリスクを可視化した結果、CEO（Chief Executive Officer：最高経営責任者）などを補佐するエグゼクティブアシスタント宛に、IDやパスワードを盗み取ろうとする大量のフィッシングメールが送られていることが分かった。

　「こうしたユーザーは、CEOのメールボックスを見たり、スケジュールを確認したりする権限を持っている。ときには、返事を代行するかもしれない」（コスグローブ氏）。会社のアカウントだけでなく、私用のアカウントもターゲットになっており、ひとたびクレデンシャルを入手したらターゲットの行動をモニタリングし、侵害を広げていくのが常とう手段だという。

　だが、そうした現状にもかかわらず、セキュリティ予算の60％はネットワークセキュリティに投資されており、「人」を念頭に置いたものは少ない。Phishing Simulation and Security Awarenessの提供には、そんな脅威と防御のギャップを解消する狙いもあるという。

　Phishing Simulation and Security Awarenessは、Web上で5〜10分程度で学習が行える各種トレーニングモジュールの他、日本語を含む30カ国語以上でフィッシングメールなどのシミュレーションを作成する「ThreatSim」、Microsoft Outlookのプラグインとして動作し、管理者への通知を行う「PhishAlarm」といったコンポーネントで構成されている。

　ThreatSimの結果を見て、比較的だまされやすいユーザーは誰で、どこがリスクになり得るかを可視化する「CyberStrength」、PhishAlarmのレポート結果を解析し、防御に反映する「PhishAlarm Analyzer」といった機能も備えており、2017年ごろから国内でも被害が報告されているBECに対する訓練や、GDPR（EU一般データ保護規則）をはじめとする法規制で求められている従業員に対する教育に活用できるとしている。

　もともとPhishing Simulation and Security Awarenessは、米Wombat Security Technologiesが開発したもので、2018年3月の買収によってプルーフポイントのポートフォリオに加わった。基本的な訓練を実施する「Anti-Phishing」、CyberStrengthによるリスク可視化機能を加えた「Foundations」、IT担当者への通知機能も含む「Enterprise」という3種類のパッケージが用意され、価格は要問い合わせとなっている。