中小企業によくある課題

不審なメールのリンクを
クリックしないように
するには
どんな教育を行うべき?

中小企業によくある課題 Common Challenges

「仕事に関連のあるものと思って自分宛てのメールを開き、そこにあるURLをクリックしたら変なページに飛ばされたが、問題ないか?」といった問い合わせをスタッフからもらうと、ヒヤリとするものです。
こうした問い合わせを減らすために情シス担当者としては、情報セキュリティ教育を定期的に実施し、セキュリティ意識を高めてもらう必要があります。

しかしどのようなコンテンツでどんな教育を行うのが良いのでしょうか?
今回は、ヒヤリハット事例が発生しないようにユーザーに対して行う教育をどのような内容で行うべきかをお伝えします。

感染経路:マルウェア感染はメール経由が多い

マルウェアの感染経路は様々ですが、メールはその中でも主要な経路のひとつであるといえます。

メールは攻撃者にとってプッシュ型の手軽なツールであるため標的型攻撃に用いられることが多く、年々把握されている攻撃件数が増加傾向にあるといわれています。
実際に新聞の一部報道によると、2020年は過去最多ペースでの攻撃数となっているようです。

官民連携のマルウェア対策プロジェクトサイトであるACTIVEでは感染経路を以下の通りに分類しており、主要な感染経路のうち2つがメールに関わる経路となっています。

Web閲覧感染型

ブラウザで閲覧したホームページに埋め込まれたマルウェアをダウンロードし、感染させるタイプ。
ホームページを見ただけで感染することもあり、インターネット利用者が自身で感染を認識することが難しくなっています。

Web誘導感染型

メールに添付されたURLをクリックし、アクセスしたホームページからマルウェアをダウンロードするよう誘導して感染させるタイプ。

ネットワーク感染型

Windows OS等の基本ソフトの設定の不備を悪用し感染させるタイプ。

メール添付型

メールの添付ファイルにマルウェアが埋め込まれており、この添付ファイルをクリックすることにより、感染させるタイプ。

外部記憶媒体感染型

USBメモリ、デジタルカメラ、ミュージックプレーヤー等の外部記憶媒体を介して感染させるタイプ。

感染による被害:マルウェア感染での被害は多岐にわたる

マルウェアに感染すると様々な影響が出てきます。
例えば前述のACTIVEでは、一例として以下のようなケースが紹介されています。

データの破壊

マルウェア感染した端末内のデータを消去されたりPCを起動できなくされたりする、などのケースがあります。
ランサムウェアなどの感染の場合、金銭を要求されるケースもあり、金銭的被害にもつながっていきます。
ランサムウェアの身代金は平均で1億円を超えているとの発表もあります。

個人情報の流出

キーボードの入力ログを収集するいわゆるキーロガーを仕込まれ、サーバのアカウント情報を取得されると顧客の個人情報を窃取される可能性があります。
同時にバックドアを仕込まれて外部流出の経路を作成されているケースも多く、攻撃者に対して送信されてしまうことも想定されます。

PCの遠隔操作

マルウェア感染すると、PCが勝手に遠隔操作されて悪意を持った第三者の指令に基づき稼働するケースがあります。このような感染PCで構成されたネットワークを、ボットネットと言います。

犯罪利用

感染したPCを悪用されると、知らないうちに犯罪に加担してしまうことがあります。よくあるのがspamメール配信のbot化です。いつの間にかフィッシングサイトへ誘導するためのメールを大量に送信してしまっていた、というケースが実際に確認されています。

またIPA(情報処理推進機構)が発表している「情報セキュリティ10大脅威 2021」では2位に「標的型攻撃による機密事項の窃取」が入っており、メールを利用した攻撃への対策は未だ優先度の高いセキュリティ対策であるといえます。

現在、メール経由での感染をセキュリティソフトだけで完全に防ぐことは困難といえます。
昨今流行したEMOTETやIcedIDに代表されるように、最近の標的型攻撃メールは一見すると、あたかも知り合いが送ってきたように見せかける文面で送られることが多く、見分けることが難しくなっています。

攻撃側のコードも解析難易度が上がり、ゼロデイ攻撃のようにセキュリティソフトだけでは防ぐことができないケースもあるのが現状です。

そうなると、結果としてシステムを活用している「人」がある程度フィルタとなり、そもそも危険な行動を行わないようにするなど対策しなければならないといえます。

標的型攻撃メールを見分けることができるようになるためには

IPAが発表している「標的型攻撃メールの傾向と見分け方」という資料を見ると、いくつか標的型攻撃メールの見分け方についてポイントが押さえられています。

着眼点は4つあります。

テーマ(件名)

  • 自社(自分)宛のメールかどうか?
  • 日本語に不審な点がないか?
    ※海外からのメールやEMOTET等の場合は自動翻訳や自動生成を行っているため

送信者

  • フリーメールアドレスからの送信
  • 送信者が、メール署名と異なる

メール本文

  • 日本語に不審な点がないか?
  • リンクの表示とURLが異なっていないか?
  • 短縮URLが使われていないか?

添付ファイル

  • 実行形式ファイル(exe、scr、jar、cplなど)
  • ショートカットファイル(lnk、pif、url)
  • 実行形式ファイルなのに文書ファイルやフォルダのアイコン
  • ファイル名が不審(二重拡張子や大量の空白文字等)

EMOTETやIcedIDも、情シス担当者として情報収集していれば知っているかもしれませんが、全社員が積極的に情報収集しているわけではありません。
そのため情シス担当者はこうした知識と対処法を、自発的に社内に発信していく必要があります。

教育を行うことで知識が身につき不審なメールに「気付く」ことができるようになり、全体としてのセキュリティレベルが向上していく形となります。

できれば教育とともに定期的に実践的なテストを行い、正しい判断ができるかどうかを確認していきましょう。

不審なURLをクリックしないために教育するべき内容とは

社内教育を行う場合に参考にしていただけるよう、盛り込む内容をピックアップしてみました。
参考にしていただき、必要に応じて取捨選択していただければと思います。

不審なメールとは?

  • マルウェア感染を目的とした添付ファイルやフィッシングサイトなどへの誘導を目的としたメール

クリックしたら何が起こるのか?

  • マルウェア感染の場合は見た目上変わらないケースも多い
  • ランサムウェアなどの場合は脅迫メッセージなどが表示されるケースもある

実際にクリックしてしまった企業の被害事例

どのようにして不審なメールを判別するのか?

  • 送信者
    • 送信者のドメインがおかしくないか?
    • 送信者のアカウント名がおかしくないか?
    • 送信者の表示名がおかしくないか?
  • 件名
    • 自社(自分)宛のメールかどうか?
    • 日本語に不審な点がないか
      ※海外からのメールやEMOTET等の場合は自動翻訳や自動生成を行っているため
      普段あまり使われない言い回しがあるケースがある
  • 本文
    • 日本語がおかしくないか?
    • リンクの表示とURLが異なっていないか?
    • 短縮URLが使われていないか?

怪しいリンクや添付ファイルを発見した場合の対応フロー

リンククリックや添付ファイルの開封をしてしまった場合の報告フロー

情シス担当者は社内への啓蒙活動とその実践について検討を

「やってみせ 言って聞かせて させて見せ」の言葉の通り、啓蒙活動と実践はセットで行うことでしっかりと身につくようになります。

自社全体のメーリングリスト宛てに「怪しいメールにあるURLは不用心にクリックしないこと」と注意喚起メールを送るだけではなく、その先にどのような影響が出てくるのか、それによって被害を受けた事例がどれだけあるかなどをしっかりと伝えましょう。

そのうえでタイミングを見て実践を行うことで、各従業員が「覚えたつもり」になっていた部分を実行できるかを確認し、社内のセキュリティ意識を高めていくことが重要です。

SOMPOリスクマネジメントからのご提案

啓蒙活動としての教育は情シス担当者として行うことができますが、そのあとの実践についてはなかなか実行が難しいところです。
セキュリティ意識が高まっているか、そして正しく実践できるかどうかについては外部の協力を得るのが一番早く効率的です。

SOMPOリスクマネジメントではセキュリティ意識をきちんと持っているかどうかを図ることができる、「標的型攻撃メール訓練サービス」をご提供しております。
実践的なテストを行い、定着率を測りたいとお考えの企業様はぜひ一度ご検討ください。