情報セキュリティマネジメント試験 2018年 秋③標的型メール攻撃への対応訓練

はじめに架空の会社の説明

X 社は、人材派遣及び転職を支援する会員制のサービスを提供する従業員数 150 名の人材サービス会社であり、東京と大阪に営業拠点がある。X 社には、営業部、人事総務部、情報システム部などがある。営業部には、100 名の営業部員が所属しており、東京拠点及び大阪拠点にそれぞれ 60 名、40 名に分かれて勤務している。

X サービスの会員情報は、会員情報管理システムに保存される。営業部員は、会社から貸与された PC を使って会員情報管理システムにログインし、会員情報を閲覧する。又、会員から電子メールに添付されて送られてきた連絡先の電話番号及びメールアドレスを含む履歴書や職務経歴書などを、会員情報管理システムに登録する。X 社は、ドメイン名 x-sya.co.jp をメールの送受信の為に使用している。メールは X 社の従業員にとって日常の業務に欠かせないコミュニケーションツールになっている。

メール受信者の手順

X-PC には、パターンマッチング方式のマルウェア対策ソフトが導入され、マルウェア定義ファイルが常に最新版に更新されている。X-PC のハードディスクは暗号化されている。X-PC で使用するメールソフトは、外部から受信したメールが HTML メールであった場合、自動的にテキストメールに変換するように設定されている。

3年前に情報システム部は、添付ファイルの開封で URL のクリックを促す不振なメールに備えて次の不振メール対応手順を定めた。

メール受信の手順

  1. メールを受信したときは、差出人や宛先のメールアドレス、件名、本文などを確認する。
  2. メールに少しでも不審な点がある場合は、問合せ対応者に次の項目を連絡する。
    (省略)
    その際は、添付ファイルを開封したり、本文中の URL をクリックしたりしないこと。又、問合せ対応者の指示なしに不審メールを転送したりしないこと。
  3. 不審メールの添付ファイルを開封したり、不審メールの本文中の URL をクリックしたりした場合は、速やかに X-PC から LAN ケーブルを抜き、さらに無線 LAN をオフにする。

問合せ対応者の手順

  1. 不審メールを受信した従業員から連絡を受けたときは、不審メール受信者に添付ファイルを開封したり本文中の URL をクリックしたりしたかを確認する。
  2. 不審メール受信者が添付ファイルを開封しておらず、本文中の URL もクリックしていない場合は、不審メールを指定のメールアドレス宛に返送するように指示する。
  3. 不審メール受信者が添付ファイルを開封したり本文中の URL をクリックしたりしていた場合は、まず、X-PC に不自然な挙動があったかどうかを確認する。次に、不審メール所新車に X-PC に導入しているマルウェア対策ソフトでフルスキャンを実行し、その結果を報告するように指示する。
    (省略)

X社のネットワーク構成

X 社のネットワークは内部ネットワークと DMZ で構成されている。インターネットと DMZ との間、及び DMZ と内部ネットワークとのあいだには、それぞれファイアウォールが設置されている。

内部ネットワークには会員情報管理システム、ログサーバ、内部メールサーバなどが設置されている。DMZ には外部メールサーバ及びプロキシサーバが設置されている。外部メールサーバでは次の機能を使用している。
・内部メールサーバとインターネットとの間でメールを転送する。
・インターネットから転送されたメールの差出人メールアドレスが X 社ドメインである場合は、当該メールを破棄する。
・受信したメールの添付ファイルをスキャンし、マルウェアとして検知された場合は、メールを破棄する。

プロキシサーバはインターネットへのアクセスをブラックリスト型の URL フィルタリング機能で制限している。プロキシサーバのログはログサーバに転送され、直近 3 ヶ月分が保存される。ログはネットワーク障害の場合などに利用する。

標的型メール攻撃対応の検討

ある日、同業他社の W 社で、標的型メール攻撃によるマルウェア感染が原因で約 3 万件の個人情報が漏洩する事項が発生し、大きく報道された。報道によると、メールにマルウェアが添付されていたほか、メールの本文の言い回しが不自然であったり、日本では使用されいない漢字が使用されていたりした。

X 社委員会では、W 社の事例を受けて、標的型メール攻撃に対する情報セキュリティ対策について話合った。営業部のK部長は、最近多くの企業で実施されているという①標的型メール攻撃への対応訓練を自部を対象に実施することを CISO に提案した。CISO は、標的型攻撃訓練の計画をまとめて次回の X 社委員会で報告するよう K 部長に指示した。K 部長は、営業部の情報セキュリティリーダである Q 課長に標的型攻撃訓練の計画を策定するよう指示した。又、K 部長が情報システム部にシステム面での協力を依頼したと情報システム部の R 主任が協力する事になった。
標的型攻撃訓練を実施する目的は?
問合せ対応者が不審メール対応手順に従って対応できるようにすること。
不審メール受信者が不審メールを見分けられるようにすること。
不審メール受信者が不審メール対応手順に従って対応できるようにすること。

標的型攻撃訓練の計画

Q 課長は、標的型攻撃訓練の対象者、標的型攻撃訓練で用いるメールの本文、差出人メールアドレス、添付ファイルなどについて 2 通りの計画案を作成した。

標的型攻撃訓練の計画(抜粋)

計画案 1

訓練対象者                : 全ての営業部員
訓練メール本文          :実在する社内の組織を詐称し、メールに添付されている契約書を、至急、
確認するように依頼する内容
差出人メールアドレス :実在する社外の組織を詐称したメールアドレス
添付アイルの形式と内容:・PDF 形式
・全文、文字化けしたテキスト
送信日時       :次の日時に分けて、各営業拠点の訓練対象者宛てに送信
・東京 2018 年 10 月 1 日 10 時
・大阪 2018 年 10 月 2 日 10 時
添付ファイルの開封に関する情報の集計:訓練メールの添付ファイルの開封に関する情報を開封
ログとして取得し、集計
集計予定期間 2018/10/01-2018/10/08
訓練対処者への対応調査:訓練メールを受信した訓練対象者がどのように対応したかを問合せ対応者
に聞き取り調査 長さ予定期間 2018/10/09-1028/10/10
結果報告       :X 社委員会へ報告予定日:2018/10/31
備考         :標的型攻撃訓練の計画が確定した後、問合せ対応者だけに計画内容を周知

計画案 2

訓練対象者      :全ての営業部員
訓練メール本文    :業務に関する内容になっており、X 社の実在する従業員を詐称し、メール
に添付されている履歴書を、至急、確認するように依頼する内容
差出人メールアドレス :X 社ドメインのメールアドレス
添付アイルの形式と内容:・オフィスソフトの文書ファイル形式
・架空の履歴書
送信日時       :次の日時に分けて、全ての訓練対象者宛てに送信 2018/10/01 10時
添付ファイルの開封に関する情報の集計:計画案1と同じ
訓練対処者への対応調査       :計画案1と同じ
結果報告:X 社委員会へ報告予定日  :計画案1と同じ
備考                :計画案1と同じ

情報セキュリティ期間の注意喚起によると標的型メール攻撃に用いれれるメールの多くは、②実在する組織がメール本文と添付ファイルを作成したかのように装ったり、差出人メールアドレスを詐称して実在する担当業務の関係者になりすましたりしています。
下線②の目的は?
不審メールであるとメール受信者に思われないようにする。

訓練メールの差出人に実在する社外の組織を用いた場合は、実在しない組織を用いた場合と違い
「 訓練対象者が注意喚起のためインターネット上のSNSに訓練メールの内容を投稿することによって、当該組織の風評被害につながったり 」、
「 訓練対象者が当該組織に問い合わせる事にのって、当該組織からクレームを受けたり 」
することがあるので、この点については再検討が必要です。
当社には、訓練内容のノウハウが不足しているので、Y 社標的型行為劇訓練サービスを利用したい。

訓練サービス

Y 社コンサルタントT 氏が訪れ、訓練サービスの内容を説明した。
・訓練メールをY 社から訓練対象者宛てに送信し、開封ログを取得し、集計する。
・開封ログの集計結果とY 社が蓄積してきた人材サービス業界の訓練結果との比較も含めた報告書をX 社に提供する。

T 氏からは、計画案 2は、③訓練メールをY社から送信すると訓練対象者に届かないなどの問題があるので再検討する必要があるとの助言があった。
又、訓練計画案を検討した結果、計画案 1が承認された。
下線③の理由は?
外部メールサーバーがインターネットから受信するメールについて送信元ドメインを制限するから

情報セキュリティ対策の改善

標的型攻撃訓練を実施した後、課題をまとめた。

課題 1:添付ファイルの開封率が 15 %を大幅に超えており、業界平均をうわまっている。
課題 2:④不審メールだと気づいた訓練対象者が注意喚起するために営業部のメーリングリスト宛て
    に添付ファイルをつけたまま訓練メールを転送している
不審メール対応手順通りには対応できていない。
    本物の標的型攻撃であった場合、どのような情報セキュリティリスクが想定されるか?
    転送された標的型攻撃メールを受信した営業部員が添付ファイルを開封することによって、
X-PCと攻撃者が用意したサーバーとの間で通信が発生する。

課題 3:⑤一部の訓練対象者が、無料のマルウェア検査サイトで検査している。
    会員からのメールに添付されていたファイルであった場合、どのような被害が予想されるか
会員の個人情報が有料サービスの利用者に漏洩する。
    会員のメールアドレス宛にフィッシングメールが送られる。
課題 4:問合せ対応者が不振メールを転送してもらった後、会社に注意喚起するまでの手間が不明確
である。

解決案と実施案

課題 1
案 1 業務でメールを使用してよい従業員の人数を段階的に減らす。
案 2 様々なタイプのメール文面や差出人メールアドレスを利用して標的型攻撃訓練を定期的に実施
する。
案 3 組織再編を定期的に実施する。
案 4 他社が受信した実際の不振メールの事例や被害など基にした e ラーニングを定期的に実施
する。
案 5 添付ファイルを開封した従業員が 0 名になるまで今回と全く同じ標的型攻撃を定期的に
実施する。
案 6 問合せ対応者の人数を段階的に増やし、対応を強化する。
案 1 から案 6 のうち「 案 2、案 4 」が有効である。

課題 2
(省略)

課題 3
案 7 不審メール対応手順に、マルウェア検査サイトに添付ファイルをアップロードした後、
問合せ対応者に報告するという記述を追加する。
案 8 不審メール対応手順に、マルウェア検査サイトに添付ファイルをアップロードすることを禁止
するという記述を追加する。
案 9 不審メール対応手順にファイル名に少しでも不審な点があるファイルは、マルウェア検査
サイトにアップロードしてよいという記述を追加する。
案 10  プロキシサーバの URL フィルタリング機能において、マルウェア検査サイトの URL を
ブラックリストに追加する。
案 11 ログサーバに保存されているログを定期的に確認する。

課題 4
(省略)
案 7 から案 11 の再発防止には「 案 8、案 10 」が有効である。