大学における標的型攻撃メール訓練の開封率
通常の組織では、情報漏洩等を防止するために、組織のドメインを用いたメールについて外部転送を許可していないのが一般的です。しかし、大学ではそうは行きません。教員や学生への利便性を考えると外部転送を一律禁止にすることは不可能であり、実際に多くの大学では転送を許可しています。
さて、昨今のセキュリティ事情では、標的型攻撃メールが急増しており、従来のセキュリティソフトだけでは防止できないそういった攻撃をいかに防ぐかが問題となっています。そのため、単なるセキュリティの強化だけでは無く、標的型攻撃メール訓練による啓蒙や意識調査が重要のなってきています。大学においても、毎年多くのインシデントが発生しており、標的型攻撃メール訓練を実施するところが増えてきてました。しかし、メールの転送を許可している大学においては、一人歩きしやすい開封率の統計方法がそれほど正確では無い可能性があることがわかりました。
訓練メールの仕組み
通常の訓練メールでは何らかの方法でWebアクセスを発生させることで開封したかどうかを判断します。その方法は大きく二つです。
- メール本文にユーザー毎に異なるURL(訓練用Webサイト)を記載し、利用者がクリックすることで、訓練用Webサイトへのアクセスを発生させる。
- 開くことでユーザー毎に異なる特定のURL(訓練用Webサイト)へアクセスするように仕込まれたファイル(実行形式だけで無く、Word文書等も可能)を添付し、利用者が添付ファイルを開くことで、訓練用Webサイトへのアクセスを発生させる。
訓練用Webサイトでアクセスを記録して、どのユーザーがアクセスしたか判断することが可能になります。最後に、アクセスがあったユーザー数から訓練メールを配送した全体ユーザー数を割ることで開封率を導きだします。誰が踏んでしまったかがわかりますので、何度も踏んでしまうような利用者に対して研修を行うと言ったことも可能になります。
本当に利用者が手動でクリックしたのか?
本学1では、教職員に続き、先日学生に対しても標的型攻撃メール訓練を実施しました。添付ファイル方式はまだ作っていない2ので、URLクリック方式です。ユーザーへ訓練メールを配信後に途中経過を集計しようとログを解析したところ、次のような本来あり得ないアクセスが数多くあることがわかりました。
- 接続元IPアドレスがアメリカ。数人程度なら留学中とも考えられるが、やけに多いし、そんなに留学している学生はいない。
- 同じ接続元IPアドレスから、ユーザーエージェントのOSとブラウザを変えて何回もアクセスしている。接続の間隔も数秒程度。
- 一つの接続元IPアドレスから、複数のURLへアクセスしている。URLはユーザー毎に異なるため、違う利用者が一つのIPアドレスを使っていることになる。
- 接続元IPアドレスの逆引きすると一般回線ではあり得ない企業名が出てくる。
- ユーザーエージェントがWindows XPでIE6やIE8。Windows XPはネットに繋ぐなと周知している。そもそも、WebメールのトップページにIE8以下で接続すると警告が出る(というか、まともに表示されない)ようにしている。
配信を開始して途中集計したのは、まだ授業中の時間帯です。ほとんどの学生は大学内にいる状況です。それを示すように大学以外のIPアドレスでアクセスがあった場合のほとんどはiPhoneやAndroidと言ったスマホでした。そのような状況で上記のような通信は本来あり得ません。一つ二つならまだしも、数多くのそのような通信がありました。これは、利用者が手動でクリックするのとは別の何かがあると推測しました。
クラウド型サンドボックスの可能性
最近のメールサービスはウィルスやスパム対策が非常に進んでいます。セキュリティ上の理由で動作の詳細を明かす企業は少ないですが、クラウド型サンドボックスを採用している場合も多いでしょう。では、今回の訓練メールが転送されたとき、その転送先メールシステムでクラウド型サンドボックスを採用している場合はどうなるでしょうか?
悪意あるURLを検知することは悪意ある添付ファイルの検知と同じぐらい重要です。最近はブラウザやFlashの脆弱性を利用したアクセスするだけ感染するサイトや偽のログイン画面を出すフィッシングサイトが珍しくありません。そのため、サンドボックスでの検知において、実際にアクセスしてみると言うことは、そのURLが安全であるか調べる上で必須の機能と言えます。
そう、それです。サンドボックスがアクセスしているのです。実際のIPアドレスについて調べると、セキュリティ関連ソフトを販売している有名な会社が管理している場合がありました。つまり、利用者にメールが届く前に、サンドボックスがそのようなサイトへアクセスし、危険なサイトでは無いか調べていると言うことです。それがクラウド型であれば、接続元IPアドレスがアメリカであっても不思議ではありません。わざと低いセキュリティを装うためにWindows XPであってもおかしくありません。そして、同じサービスを利用しているのであれば、一つの接続元IPアドレスから異なるユーザー向けのURLへアクセスがあってもおかしくないと言うことです。
他にもWebメールサービスでサンドボックスによる検知を採用している場合もあります。実際に、Webメールサービス提供の会社のIPアドレスからのアクセスも確認しており、サンドボックスを使用しているのであれば、そのようなアクセスもおかしくないと言えます。
統計を取るときはそういったアクセスの除外を
あまり詳しい話や具体的なIPアドレスの話をしてしまうと、悪意ある人がその情報を悪用する可能性があるため述べませんが、ある程度規則性をもって判断することは可能性です。そういったアクセスについては除外した上で、実際に踏んだであろう人を集計する必要があるでしょう。ということで、教職員も集計し直しするハメになってしまいした…。
自由に転送を許可しているような大学においては、標的型攻撃メール訓練を行うときは上記の点について気をつけた方が良いでしょう。企業が提供しているサービスがそのようなアクセスを考慮にしているかどうかまではわかりませんでした。標的型攻撃メール訓練についてはかなり調べたつもりだったのですが、私は昨日初めて気付いたので、あまり周知されていない事実かも知れません。一般企業向けの標的型攻撃メール訓練と同じようにやってしまうと、開封率が正確では無く、統計上参考にならない可能性があります。自分で実施するしろ、企業に委託するにしろ、気をつけていただければと思います。
ここからおまけです。聡い人であれば、題名だけで気付いたかも知れません。
クラウド型メールサービスやクラウド型サンドボックスは完全標的型攻撃メールを防げない
昨今はオンプレでのハード購入が不要なクラウド型メールサービスが流行っています。また、サンドボックスもオンプレ型よりもクラウド型がお買い得と進めてくる営業も多いでしょう。リソースが豊富なクラウドを利用して検知するため、オンプレ型よりもセキュリティが高いですと言ってくるところも多いでしょう。しかし、騙されてはいけません。それらは完全標的型攻撃メールに含まれる悪意あるURLを検知することは不可能だからです。
標的型攻撃メールには二種類あると言われています。ひとつは対象を絞らないばらまき型と言われるものです。不特定多数に対して、関係ありそうな内容の攻撃メールを送るというものです。ランサムウェアウィルス感染やクレジットカード番号等を盗用するフィッシングなどが目的であり、誰が引っかかってもお金を得られる仕組みにしています。もう一つは対象を絞ったものです。一つの組織や特定の個人に対して、関係がある内容の攻撃メールを送るというものです。単純なウィルス感染等では無く、その組織内部への侵入や情報の取得を目的としており、金銭では賄えないより深刻な侵害をもたらします。特に名称があるかどうかはわかりませんが、私は完全標的型攻撃メールと区別して呼ぶようにしています。
ばらまき型は問題ありません。ばらまき型を引っかけるサイトは、多くの人がなるべく引っかかるように、誰がアクセスしてもウィルスを感染させようとしたり、フィッシング用の偽ログイン画面を出そうとしたりするからです。クラウド型サンドボックスからのアクセスは、多くのアクセスがあって初めてその特徴を掴めるため、それらを除外することはかなり難しいでしょう。当たり前ですが、セキュリティ会社側もIPアドレスを定期的に変えるなどの対策をとっているでしょうから、特定のIPアドレスだけ無害なサイトを表示すると言うことができません。
しかし、完全標的型攻撃メールは異なります。ターゲットはたった一つの組織であり、その組織のIPアドレスからアクセスがあったときだけ、危険性があるサイトにし、それ以外のIPアドレスに対しては無害なサイトを装えるからです。つまり、事前にそのサイトが危険かどうかの判断するためのアクセスを組織外からやっても無意味にできるということです。
クラウド型メールサービスに付いているサンドボックスや、クラウド型サンドボックスの接続元IPアドレスは、それを利用する組織のIPアドレスになることはありません。つまりは、完全標的型攻撃メールの前では、それらのサンドボックスでは検知することは不可能と言うことです。少々高くなっても、より安全を求めるなら、オンプレ型サンドボックスを採用した方がいいでしょう。また、このときの仮想上の環境も、実際に組織内でよく使われている環境にすべきでしょう。今時、Windows XPでのアクセスなど、何か装っているとしか思えません。インターネットへのアクセスも、通常端末と同じプロキシサーバーを使うなど、同じであることを徹底しなければ導入する意味がありません。
感覚としては99.0%を99.3%にするか99.5%にするかぐらいの違い3しか無いかも知れませんが、費用対効果の見極めにおいて、考慮に入れておくべき事項だと思います。