このページの本文へ

週刊セキュリティレポート 第19回

ソーシャルエンジニアリングを想定した訓練もぜひ

政府が擬似ウイルス送付!標的型攻撃への訓練はなぜ必要?

2011年11月07日 06時00分更新

文● 富安洋介/エフセキュア

  • この記事をはてなブックマークに追加
  • 本文印刷

先月報告された三菱重工のウイルス感染や、また中央省庁を標的としたメールによる標的型攻撃が増加していることを受けて、日本政府は政府機関の職員5万人を対象に、擬似ウイルスメールを使った訓練を行なうことを発表しました。これほど大規模な訓練はかつてなかったため、非常に興味深い取り組みと思います。こういった訓練がなぜ必要なのかを考えていきましょう。

標的型攻撃に対抗する訓練が必要な理由

 今回の訓練では、内閣官房情報セキュリティセンター(NISC)が擬似ウイルスメールを政府職員に送付し、そのメールに添付されていたファイルを開いた場合、開いたユーザーの情報がサーバーに記録され、そのユーザーに対して注意喚起を行なうそうです。

 ウイルスなどは、メールサーバーやPC上のアンチウイルスソフトで削除できるはずと思うかもしれません。たしかに、広く感染活動を行なうウイルスであれば、アンチウイルスソフトで対処できる可能性は高くなります。しかし、今回のケースでは、特定の組織を標的とした標的型攻撃への対処なのですが、この場合は対処が難しくなります。

 エフセキュアもそうですが、多くのアンチウイルスベンダーは、世界中で販売されています。不特定多数を対象とした感染活動を行なうものは、世界中のどこかでサンプルが手に入るため、そのウイルスを検出するパターンファイルの作成がすぐに行なわれます。

 しかし、標的型攻撃の場合は、標的となった組織以外にはウイルスは拡散しません。その組織からのサンプル提供がない限りは、アンチウイルスソフトが検出できないという可能性が考えられます。さらに、データ盗難などが目的となるため、一見は正常なファイルのようにふるまうことからウイルスと認識されず、長い間サンプル提供が行なわれない可能性も十分に考えられます。

標的型攻撃では、サンプルの入手経路が限られるため、パターンファイルの配布が遅くなる

 アンチウイルスベンダー各社も、こういったケースに対応するために、未知のウイルスに対応できる機能を製品にもたせていますが、既知のウイルスの検出率と比べて検出率が大きく下がります。アンチウイルスソフトを評価する第三者機関のAV-Comparativesでも、未知のウイルスの検出力についてのテスト(Proactiveテスト)を行なっていますが、よい製品でも50~60%程度の検出率にとどまっています。さらに、検出率が高い場合は、誤検出(ウイルスでないものをウイルスとして検出してしまう)が多く発生しています。そのため、ユーザーのリテラシを向上させる訓練が重要になってきます。

攻撃方法を予測して、有効な訓練を

 政府の発表した内容を見ると、今回の訓練ではウイルスは添付ファイルの形式でのみ送られるようです。標的型攻撃を見極めるポイントとして、差出人は誰か、件名はどうなっているかなどに注意するように記載しているため、差出人などを偽装したソーシャルエンジニアリングを想定した訓練と考えられます。

 もちろん、差出人などに注意を払うのは重要なことですが、さらに発展した攻撃を考慮して、スペース文字の挿入による拡張子の偽装や、この連載の第13回でも触れたRLO Unicodeトリックを使った拡張子の偽装などにも注意を払った訓練を行なうとよりよいのではないかと思います。

メールの送信元は送信者が自由に編集できるため、知り合いを偽ったウイルスメールが送られることがある。送信元のアドレスと送信に使われたサーバー(Receivedヘッダー)に注意!

 また、添付ファイルだけでなく、メール本文中のリンクからのダウンロードを行なうケースも考慮した訓練を織り交ぜるのも効果的でしょう。HTMLメールでは、本文中に書かれているURLの文字、実際のリンク先を変えることができます。ですので、見知ったURLが書いてあっても安易にリンクをクリックせず、ブックマークなどからたどる癖をつけましょう。そうすれば、

メールの本文中では「http://www.f-secure.com」と記載されているが、実際のリンク先は「http://testsrv」になっている

仕組みだけでなく人の意識の向上も

 安全対策を考える場合、人間はミスを起こすことが考えられるため、一般的には人が介在しない仕組みで対策を行なうことが推奨されます。政府も訓練のほかに、SPFによる送信者認証の仕組みも取り入れることが発表されています。しかし、これから予測されるサイバークライムには、個人個人のリテラシーの向上と自己防衛の意識を高めることも同様に必要になってきます。防災訓練などと同様に、数カ月に一度はウイルスに対する訓練も行なえるとよいですね。

筆者紹介:富安洋介

エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。


カテゴリートップへ

この連載の記事
ピックアップ