ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習（3/6 ページ）

[高橋睦美，ITmedia]

“第二波”標的型攻撃メールも無事に対処

　2つ目は、いわゆる標的型攻撃メールによる侵害の試みだ。ただし、これも「不審なメールを受け取ったという報告が社内から上がって来て、すぐにメールの内容を解析し、隔離することで、侵害に至らなかった」（黒澤さん）

　というのも、Sansanでは毎年、標的型攻撃メール訓練を実施しており、注意の意識が身についていたという。中には訓練中、うっかりリンクをクリックし、開いてしまう人もいるが「それ以上に何倍もの報告がSOCに上がってくる状況。訓練は確実に効果があると思う」と黒澤さん。

　ただ、人の判断だけに頼るのはナンセンスであることも承知しており「人間なので100％は難しい。そこはシステムでカバーし、いかに兆候を捉えて閉め出していくかが重要かなと思っている」（黒澤さん）と続けた。

　イエラエ側も「LinkedInなどのSNSからメールアドレスを収集し、フィッシングメールを送付したが、トレーニングが行き届いているのか、早い段階で『怪しいメールが来ている』との連絡があり、侵入はなかなかうまくいかなかった」（片岡さん）

　ただ、現実の世界では、より巧妙なフィッシングが仕掛けられる恐れもある。今回の演習では2カ月というテスト期間内での試行だったが、「実際の攻撃者であれば、感づかれたとしても少し時間を置いて再度フィッシングを仕掛けることもある。（ビジネスメール詐欺のように）偽の会社名を名乗って信頼関係を築いた上で攻撃してくることもあるため、テスト期間内にできることには限界がある」（イエラエ サイバーセキュリティ事業本部執行役員 サイフィエフ・ルスランさん）

　いずれにせよ「この2つのパターンは、現実の攻撃でも多く見られるもの」（ルスランさん）といい、いかに普段からの備えが重要かが分かる。イエラエ独自のツールを用いてチェックしても、定期的な脆弱性診断やペネトレーションテストが効果を発揮し、規模の割に、クリティカルな問題は見つからなかったという。

　なお、ここまでの手口はあくまでSansanを対象に、目的を踏まえて計画されたものであって、他のレッドチーム演習でも同様の手法が用いられるとは限らない。マニュアルがあるわけではなく、顧客の懸念をヒアリングし、時には調査中に怪しいところを見つけ、掘り下げながら実施しているという。