先月報告された三菱重工のウイルス感染や、また中央省庁を標的としたメールによる標的型攻撃が増加していることを受けて、日本政府は政府機関の職員5万人を対象に、擬似ウイルスメールを使った訓練を行なうことを発表しました。これほど大規模な訓練はかつてなかったため、非常に興味深い取り組みと思います。こういった訓練がなぜ必要なのかを考えていきましょう。
標的型攻撃に対抗する訓練が必要な理由
今回の訓練では、内閣官房情報セキュリティセンター(NISC)が擬似ウイルスメールを政府職員に送付し、そのメールに添付されていたファイルを開いた場合、開いたユーザーの情報がサーバーに記録され、そのユーザーに対して注意喚起を行なうそうです。
ウイルスなどは、メールサーバーやPC上のアンチウイルスソフトで削除できるはずと思うかもしれません。たしかに、広く感染活動を行なうウイルスであれば、アンチウイルスソフトで対処できる可能性は高くなります。しかし、今回のケースでは、特定の組織を標的とした標的型攻撃への対処なのですが、この場合は対処が難しくなります。
エフセキュアもそうですが、多くのアンチウイルスベンダーは、世界中で販売されています。不特定多数を対象とした感染活動を行なうものは、世界中のどこかでサンプルが手に入るため、そのウイルスを検出するパターンファイルの作成がすぐに行なわれます。
しかし、標的型攻撃の場合は、標的となった組織以外にはウイルスは拡散しません。その組織からのサンプル提供がない限りは、アンチウイルスソフトが検出できないという可能性が考えられます。さらに、データ盗難などが目的となるため、一見は正常なファイルのようにふるまうことからウイルスと認識されず、長い間サンプル提供が行なわれない可能性も十分に考えられます。
アンチウイルスベンダー各社も、こういったケースに対応するために、未知のウイルスに対応できる機能を製品にもたせていますが、既知のウイルスの検出率と比べて検出率が大きく下がります。アンチウイルスソフトを評価する第三者機関のAV-Comparativesでも、未知のウイルスの検出力についてのテスト(Proactiveテスト)を行なっていますが、よい製品でも50~60%程度の検出率にとどまっています。さらに、検出率が高い場合は、誤検出(ウイルスでないものをウイルスとして検出してしまう)が多く発生しています。そのため、ユーザーのリテラシを向上させる訓練が重要になってきます。
攻撃方法を予測して、有効な訓練を
政府の発表した内容を見ると、今回の訓練ではウイルスは添付ファイルの形式でのみ送られるようです。標的型攻撃を見極めるポイントとして、差出人は誰か、件名はどうなっているかなどに注意するように記載しているため、差出人などを偽装したソーシャルエンジニアリングを想定した訓練と考えられます。
もちろん、差出人などに注意を払うのは重要なことですが、さらに発展した攻撃を考慮して、スペース文字の挿入による拡張子の偽装や、この連載の第13回でも触れたRLO Unicodeトリックを使った拡張子の偽装などにも注意を払った訓練を行なうとよりよいのではないかと思います。
また、添付ファイルだけでなく、メール本文中のリンクからのダウンロードを行なうケースも考慮した訓練を織り交ぜるのも効果的でしょう。HTMLメールでは、本文中に書かれているURLの文字、実際のリンク先を変えることができます。ですので、見知ったURLが書いてあっても安易にリンクをクリックせず、ブックマークなどからたどる癖をつけましょう。そうすれば、
仕組みだけでなく人の意識の向上も
安全対策を考える場合、人間はミスを起こすことが考えられるため、一般的には人が介在しない仕組みで対策を行なうことが推奨されます。政府も訓練のほかに、SPFによる送信者認証の仕組みも取り入れることが発表されています。しかし、これから予測されるサイバークライムには、個人個人のリテラシーの向上と自己防衛の意識を高めることも同様に必要になってきます。防災訓練などと同様に、数カ月に一度はウイルスに対する訓練も行なえるとよいですね。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。
この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ