情報セキュリティマネジメント試験 平成28年春(2016)午後 ①標的型攻撃メールの脅威と対策

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. 標的型攻撃メールの特徴を知る。
  2. インシデント管理規定の熟知
  3. チョット可笑しいメールだなーと思った場合の対応
  4. 模擬、標的型攻撃メールの実施




はじめに、架空の会社 Y 社の説明

Y 社は、事務用機器を主力商品とする販売代理店である。従業員数は1,200名であり、本社は営業部、情報システム部、総務部などがある。

PC マルウェア感染

ある日、情報システム部は、Y 社内の 1 台の PC が大量の不審なパケットを発信していることをネットワーク監視作業中に発見し、直ちに外部との接続を遮断した。
情報システム部による調査の結果、営業部に所属する若手従業員 G 君が、受信した電子メールの添付ファイルを開封したことが原因で、G 君の PC がマルウェアに感染し、大量のパケットを発信していたことが判明した。幸いにも、情報システム部の迅速な対処によって、顧客情報の漏洩などの最悪の事態は防ぐことができた。

受信してメール

G 君が受信したメールは、いわゆる標的型攻撃メールと呼ばれるものです。標的型攻撃メールとは、特定の組織や個人を対象として、受信者の PC にマルウェアを送り付け、情報を窃取することなどを目的とするメールであり、不特定多数の組織や個人を対象として送られるウイルスメールとは異なるものです。

最近は、国内でも標的型攻撃メールに起因する情報漏洩事故が多数発生しており、大手企業や官公庁以外もターゲットになり得るので、営業部の従業員には十分に注意するように言っていたのだが。

標的型攻撃メールでは、注意していたつもりでも、気付かずにマルウェア感染が起こります。また、受信者が疑いを持たないように、メールの差出人を公的機関などに詐称したり、メールの件名や内容を受信者の業務に関連したものに偽装したりするといった、官界を利用します。

G 君が受信したメールは、受信者の疑いを低減させる手口や、受信者の動作を巧みに誘導する手口として、製品を導入する方向で検討を進めているという趣旨を伝えた上で、質問の回答期限を指定するこによって添付ファイルを開くように誘導している。又、メールのやり取りを数回行う事によって疑いを低減している。などが見受けられます。

主任は、標的型攻撃メールによくみられる注意すべき特徴のうち、G 君が受信したメールにみられる特徴として、差出人のメールアドレスと、本文の末尾に記載されている署名のメールアドレスが異なる。又、実行形式のファイルが添付されている。などを説明した。

G 君が受信したメール内容

ヒアリング

E 課長は、G 君メールを受信した際の状況及び対応に関してヒアリングを行った。又、Y 社の情報セキュリティインシデント管理規定通りに対応しなかった理由を G 君に確認した。

G 君へのヒアリング結果

管理規定

情報セキュリティ意識向上の向けて

ヒアリング実施後、課長と主任の会話です。

標的型攻撃メールによるマルウェア感染を完全に防ぐことは難しいので、被害を最小化するために、メール添付を開封した後に従業員が適切な対応をとることが重要です。

今回の初動対応における問題点は、不審な事象が起きたにもかかわらず、情報セキュリティリーダに報告しなかった。又、不審な事象が起きたにもかかわらず、マルウェアには感染していないと自己判断した点など二つあったと思います。本来であれば、管理規定に基づき、疑わしい事象を発見した場合は、速やかに報告しなければならない。又、報告にあたっては、判断に迷う事象であっても自己判断せずに報告することも重要だ。

今回の問題点を解決するには、規定やルールは単に策定しただけでは不十分であり、それらが遵守されるように管理規定の内容に関する従業員への周知情報共有や報告が包み隠さず行われるような組織文化の醸成の2点を行うことが重要だと思います。

模擬の標的型攻撃電子メールを従業員に期間を開けて何回か送付し、添付ファイル開封後の報告完了率、報告完了までに要した時間などの変化を調査する。など、実際に攻撃を受けた場合にも一人一人が適切に対応できるかを定量的に測定し評価できるようにしていきたい。そのためんお全社的な取り組みも情報システム部で実施してもらいないだろうか。

承知しました。検討し実施したいと思います。

課長からの提案もあって、Y 社では、従業員の情報セキュリティ意識向上に着実に取り組むようになった。




関連する用語

下記のような不審メールを受信したら組織内で定める運用ルールに従って、その情報を上司やしかるべき部署に報告しましょう。

  1. 日本語の言い回しが不自然
  2. 繁体字、簡体字が使われている
  3. 知らない人からのメール
  4. 心当たりのないメール
  5. フリーアドレスからのメール
  6. 表示されているURLと実際のリンク先のURLが異なる
  7. 署名の内容が間違っている
  8. 実行形式ファイル(exeの添付)
  9. データ形式ファイルも同様で zip などの圧縮ファイルも安易に解凍しようとしない
  10. 拡張子がlnkのショートカットファイルの添付
  11. アイコンの偽装
  12. ファイル拡張子の偽装




学習の確認

  1. 標的型攻撃メールの特徴を知る。
  2. インシデント管理規定の熟知
  3. チョット可笑しいメールだなーと思った場合の対応
  4. 模擬、標的型攻撃メールの実施