情報セキュリティマネジメント試験 平成30年秋(2018)午後 ③標的型メール攻撃への対応訓練

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. メール受信の手順
  2. 標的型攻撃訓練の必要性
  3. 標的型攻撃訓練を行う前の注意
  4. 標的型攻撃訓練後の反省



はじめに、架空の会社 X 社の説明

X 社は、人材派遣及び転職を支援する会員制のサービスを提供する従業員数 150 名の人材サービス会社であり、東京と大阪に営業拠点がある。X 社には、営業部、人事総務部、情報システム部などがある。営業部には、100 名の営業部員が所属しており、東京拠点及び大阪拠点にそれぞれ 60 名、40 名に分かれて勤務している。

X サービスの会員情報は、会員情報管理システムに保存される。営業部員は、会社から貸与された PC を使って会員情報管理システムにログインし、会員情報を閲覧する。又、会員から電子メールに添付されて送られてきた連絡先の電話番号及びメールアドレスを含む履歴書や職務経歴書などを、会員情報管理システムに登録する。X 社は、ドメイン名 x-sya.co.jp をメールの送受信の為に使用している。メールは X 社の従業員にとって日常の業務に欠かせないコミュニケーションツールになっている。

X-PC には、パターンマッチング方式のマルウェア対策ソフトが導入され、マルウェア定義ファイルが常に最新版に更新されている。X-PC のハードディスクは暗号化されている。X-PC で使用するメールソフトは、外部から受信したメールが HTML メールであった場合、自動的にテキストメールに変換するように設定されている。

3年前に情報システム部は、添付ファイルの開封で URL のクリックを促す不振なメールに備えて次の不振メール対応手順を定めた。

X社のネットワーク構成

X 社のネットワークは内部ネットワークと DMZ で構成されている。インターネットと DMZ との間、及び DMZ と内部ネットワークとのあいだには、それぞれファイアウォールが設置されている。

内部ネットワークには会員情報管理システム、ログサーバ、内部メールサーバなどが設置されている。DMZ には外部メールサーバ及びプロキシサーバが設置されている。外部メールサーバでは次の機能を使用している。
・内部メールサーバとインターネットとの間でメールを転送する。
・インターネットから転送されたメールの差出人メールアドレスが X 社ドメインである場合は、当該メールを破棄する。
・受信したメールの添付ファイルをスキャンし、マルウェアとして検知された場合は、メールを破棄する。

プロキシサーバはインターネットへのアクセスをブラックリスト型の URL フィルタリング機能で制限している。プロキシサーバのログはログサーバに転送され、直近 3 ヶ月分が保存される。ログはネットワーク障害の場合などに利用する。

標的型メール攻撃対応の検討

ある日、同業他社の W 社で、標的型メール攻撃によるマルウェア感染が原因で約 3 万件の個人情報が漏洩する事項が発生し、大きく報道された。報道によると、メールにマルウェアが添付されていたほか、メールの本文の言い回しが不自然であったり、日本では使用されいない漢字が使用されていたりした。

X 社委員会では、W 社の事例を受けて、標的型メール攻撃に対する情報セキュリティ対策について話合った。営業部のK部長は、最近多くの企業で実施されているというそこで、3年前に情報システム部が決めた不振なメール対応手順で、問合せ対応者が、不審メール対応手順に従って対応できるか、不審メール受信者が、不審メールを見分けられるか、また、不審メール受信者が、不審メール対応手順に従って対応できるかを確認するために標的型メール攻撃への対応訓練を自部を対象に実施することを CISO に提案した。

標的型攻撃訓練の計画

Q 課長は、標的型攻撃訓練の対象者、標的型攻撃訓練で用いるメールの本文、差出人メールアドレス、添付ファイルなどについて 2 通りの計画案を作成した。

標的型メール攻撃に用いれれるメールの多くは、不審メールであるとメール受信者に思われないように実在する組織がメール本文と添付ファイルを作成したかのように装ったり、差出人メールアドレスを詐称して実在する担当業務の関係者になりすましたりしています。

訓練メールの差出人に実在する社外の組織を用いた場合は、実在しない組織を用いた場合と違い訓練対象者が注意喚起のためインターネット上のSNSに訓練メールの内容を投稿することによって、当該組織の風評被害につながったり、訓練対象者が当該組織に問い合わせる事にのって、当該組織からクレームを受けたりすることがあるので、この点については再検討が必要です。当社には、訓練内容のノウハウが不足しているので、Y 社の標的型攻撃訓練サービスを利用したほうが良いでしょう。

訓練サービス

Y 社コンサルタントT 氏が訪れ、訓練サービスの内容を説明した。
・訓練メールをY 社から訓練対象者宛てに送信し、開封ログを取得し、集計する。
・開封ログの集計結果とY 社が蓄積してきた人材サービス業界の訓練結果との比較も含めた報告書をX 社に提供する。

計画案 2 で、訓練メールをY社から送信すると外部メールサーバーがインターネットから受信するメールについて送信元ドメインを制限するから訓練対象者に届かないなどの問題があるので再検討する必要があるとの助言があった。又、訓練計画案を検討した結果、計画案 1が承認された。

情報セキュリティ対策の改善

標的型攻撃訓練を実施した後、課題をまとめた。

課題 1:添付ファイルの開封率が 15 %を大幅に超えており、業界平均をうわまっている。

課題 2:不審メールだと気づいた訓練対象者が注意喚起するために営業部のメーリングリスト宛て
に添付ファイルをつけたまま訓練メールを転送しているもし、本物の標的型攻撃メールを受信した営業部員が、添付ファイルを開封して、X-PC と攻撃者が用意したサーバーとの間で通信が発生し感染してしまう。というように不審メール対応手順の通りの対応できていない。

課題 3:一部の訓練対象者が、無料のマルウェア検査サイトで検査している。
検査サイトでは無料サービスと有料サービスを行っているところがあり、無料の検査サイトに添付ファイルなどアップロードしたら、その添付ファイルを有料サイトの方でサンプル的に利用されるたり、訓練に使用した内容から個人情報が漏洩し、メールアドレス宛にフィッシングメールが送られる。などの危険性がある。

課題 4:問合せ対応者が不振メールを転送してもらった後、会社に注意喚起するまでの手間が不明確である。

解決案と実施案

  • 様々なタイプのメール文面や、差出人メールアドレスを利用して標的型攻撃訓練を定期的に実施する。
  • 他社が受信した実際の不振メールの事例や被害など基にした e ラーニングを定期的に実施する。不審メール対応手順に、マルウェア検査サイトに添付ファイルをアップロードすることを禁止するという記述を追加する。
  • プロキシサーバの URL フィルタリング機能において、マルウェア検査サイトの URL をブラックリストに追加する。



関連する用語

パターンマッチング方式
コンピュータウイルスやワームを検出するための代表的な方式で、そのウイルスが持つ特徴的なコードをパターン(シグネチャコード)としてデータベース化し、それと検査対象のファイルを比較することでウイルスの検出を試みる手法。検出できるウイルスはパターンファイルに定義されているものに限るので、定義されていないものや次々と亜種が作られるもの、未知のウイルスなどを検出するのは難しいという特徴がある。

DMZ
組織のネットワークにおいてファイアウォールの中でも外でもない隔離された中間的なエリアのこと。主に外部からアクセスされる可能性のある公開サーバを配置する。DMZ上のサーバに対する攻撃が内部ネットワークにまで及ばないようにするセキュリティ効果が期待できる。



学習の確認

  1. メール受信の手順
  2. 標的型攻撃訓練の必要性
  3. 標的型攻撃訓練を行う前の注意
  4. 標的型攻撃訓練後の反省