標的型不審メール攻撃に対する訓練や公開Webサーバの脆弱性検査に関する中間報告を行った。
内閣官房情報セキュリティセンター(NISC)は1月19日、政府機関の情報セキュリティ対策状況について発表した。標的型不審メール攻撃に対する訓練や公開Webサーバの脆弱性検査結果の中間報告、送信ドメイン認証技術のSPFレコードの設定状況を明らかにした。
標的型不審メール攻撃に対する訓練は、12の政府機関の職員など約6万人を対象に、2011年10〜12月に実施した。訓練では対象者に事前教育を行い、標的型不審メールの模擬メールを2回送信。開封率や受信時の行動などの結果を分析している。
ファイルを添付した1回目のメールの平均開封率は10.1%(レンジは1.1〜23.8%)、リンクを記載した2回目のメールの平均開封率は3.1%(同0.4〜6.1%)だった。メールを開封した以外の事例では受信メールに返信する形で送信元に差出人を確認してしまうケースや、不在通知が自動的に送信されるケースがあったという。
NISCでは2回目のメールで開封率が低下したことから、一定の訓練効果を得られたと分析。一方で、訓練実施からの時間経過で意識が低下することが懸念されるほか、事例にみられた行動から攻撃者に正規アドレスを知られてしまう恐れがあるといった課題を挙げている。
公開Webサーバの脆弱性検査は、希望した11府省庁の約330画面を対象に、2011年9〜12月にインターネット経由で実施。ツールおよび手動でプラットフォームとWebアプリケーションの状況を調べた。
その結果、共通脆弱性評価システム(CVSS)の値で7.0〜9.9の危険度の高いが脆弱性がのべ14件見つかった。内訳はSQLインジェクションが8件、ApacheのRangeヘッダにおけるサービス妨害(DoS)が3件、DoSおよびサポート切れOSの使用、認証の迂回が1件ずつとなっている。脆弱性が見つかった府省庁には速報で情報を提供し、対策を実施済みもしくは実施中だとしている。
外局などを含めたDNSサーバへのSPFレコードの設定状況は、1月16日現在で85.1%(サードレベルドメインまで)だった。本府省庁では2010年7月に設定を完了している。なお、利用のない「go.jp」ドメインを廃止したほか、メールを送信しない同ドメインではその内容をSPFレコードに記述するなどの取り組みを行っているという。
Copyright © ITmedia, Inc. All Rights Reserved.