2016.09.29(木)

[DEF CON 23] 正しい標的型攻撃メール訓練の運用法、ソーシャルエンジニアリングの国際的権威クリス・ハドナジーに聞く

研修・セミナー・カンファレンス セミナー・イベント

毎夏ラスベガスで開催される世界最大規模のハッキングカンファレンス DEF CON では、様々なコンテストやイベントが併催される。

企業のコールセンターなどの電話窓口に関係者を装って直接電話をかけて、入念な準備に基づいた話術(=ソーシャルエンジニアリングテクニック(ソーシャルハッキング)のひとつ)を駆使し、どれだけの情報を引き出すことができたかを競う、DEF CON の中でも異色のイベント「 SECTF (ソーシャルエンジニアリング CTF)」は本年で 6 回目の開催を迎えた。

主催者であるソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏と、同僚の Michele Fincher(ミシェル・フィンチャー)氏、そして、日本でのソーシャルエンジニアリングの教育プログラム展開を検討する、株式会社アズジェントのセキュリティ・プラス ラボ所長の 駒瀬 彰彦 氏の 3 名へのインタビュー後篇では、日本の大規模漏えい事故によって注目が集まった、標的型攻撃メール訓練サービスに話が及んだ。(聞き手:江添 佳代子 氏)


──ソーシャルエンジニアリングの対策を考える場合、日本社会の特徴や独自な点はありますか。

フィンチャー氏:日本は、信用をベースに社会が成り立っている印象があります。人を疑うより信用する国だと思いますので、悪意のある人にその善意を利用されやすい傾向があるのではないでしょうか。米国の場合、米国家安全保障局 (NSA) が国民の個人情報を収集していたということもあり、人々は物事をより悲観的に捉える傾向にあると思います。

──日本では、年金機構における個人情報漏えい事故がマスメディアで大きく取り上げられ、フィッシング対策の一環として、標的型攻撃メール訓練が過度に注目を集めた印象があります。クリスさんに伺いたいのですが、そもそもソーシャルエンジニアリング対策のトレーニングを行う場合、必要な要素や、反対にやってはいけないことはどんなことでしょうか。

ハドナジー氏:ソーシャルエンジニアリングに関するトレーニングで必要なのは、従業員が恐怖や恥ずかしさを感じることが決してないよう配慮することです。恐怖や恥ずかしさを用いて人を育てることはできません。たとえば、フィッシングメールを開いてしまったら怒られる、恥ずかしい思いをするというトレーニング内容がもしあるとしたら、教育効果は得られないでしょう。

また、トレーニングが従業員にかける負担を小さくすることも必要です。忙しい日々の業務を妨げるようなトレーニングは、従業員にとって負担にしかなりませんし、従業員はトレーニングに対し非常にネガティブな印象を持ちます。

私は、1 回のトレーニンングに必要な時間を 60 ~ 90 秒ほどにとどめるべきだと考えています。フィッシングメールを開き、URL をクリックしてしまった従業員に対して、数秒で読める簡潔な説明を見せるような内容が効果的でしょう。

駒瀬氏:日本では、政府や企業が標的型攻撃メール訓練を行う事例がありますが、罰が与えられたり、恐怖や恥ずかしさを感じる内容は存在しないと思います。そこは安心できる部分でしょう。

一方、日本の標的型攻撃メール訓練に関して私が懸念しているのは、トレーニングの教育効果がメールの開封率や URL のクリック率のみで判断されてしまっていることです。費用面もしくは、従業者への負担を考慮してか、十分な期間をかけて訓練を実施しない、開封した担当者の階層毎のリスク評価(役職者が開封した場合の方が、役職を有さない者よりリスクが高いなど)をしないで、クリック率が下がると効果がでていると判断してしまい、トレーニングを終えてしまう企業が多いのが現状です。

──では、いったいどのような項目を指標として、トレーニングの効果を判断していくべきでしょうか。

フィンチャー氏:標的型攻撃メール訓練のようなトレーニングの効果を測定するには、複数の要素を見るべきです。一つ目は、従業員の「報告」についてです。メールを開封したか否かなどは別として、従業員はフィッシングメールが届いたことを企業内の担当者に報告する必要があります。その報告が行われたのかどうか、報告率、そしてメールが届いたことに対する報告が行われたのか、または開封してしまったために報告したのかなども見るべきでしょう。

二つ目は、対象企業にダウンロードされたマルウェア数がトレーニングによりどのように減少したかも見るべきでしょう。開封率やクリック率が減少したにも関わらず、トレーニング実施前と比較してマルウェア数が減少していないのであれば、本来目的としていた効果があったとは言い難いのではないでしょうか。

三つ目は、フィッシングメールの難易度を考慮する必要性です。フィッシングメールの難易度が下がれば、従業員が騙される可能性は低くなり、クリック率は下がります。難易度の低いメールを送ることでクリック率が減少し、トレーニングの効果があったと満足してしまっては、本来の目的がなされていないことになるでしょう。

これらの要素を総合的に検証することが必要ではないでしょうか。開封率やクリック率ではなく、従業員のスキルレベルを把握し、向上していくことがトレーニングの目的だと考えています。

ハドナジー氏:「報告」は非常に大切な効果測定要素です。最も理想的なのは、フィッシングメールだと察知し、開封する前にその存在を報告する従業員です。反対に、フィッシングメールと察知し、開封はしなかったが報告を怠った従業員、察知できず開封してしまったが事後報告を行った従業員、開封したが報告も怠った従業員、これらの従業員すべてに改善の余地があることを認識する必要があると思います。

──トレーニングを実施すべき頻度や規模などについて、教えてください

ハドナジー氏:理想はすべての従業員に対し、毎月トレーニングを行うことでしょう。もちろん企業規模や従業員数、トレーニングに投資することのできる予算などによって行う頻度や範囲の調整が必要なのが現状です。

こういったソーシャルエンジニアリングに対するトレーニングの必要性を周知させるために米国で労力を費やしたのが 6 ~ 7 年前のことでした。当時は私たちも大変苦戦しましたが、今の日本は、ちょうどその時期に差し掛かっているのではないでしょうか。

──トレーニングを受けても、攻撃を 100 %防ぐことはできません。

ハドナジー氏:その通りです。私は、ソーシャルエンジニアリングに長く携わり、専門家として本を書いてすらいますが、それでも昨年一度フィッシングメールの被害にあいました。

──ソーシャルエンジニアリングのプロフェッショナルであるあなたでも、そんなことがあるのですね。

ハドナジー氏:私のように豊富なノウハウを持ち、日々対策を考えている人間でも、メールが届いたタイミング、その時の心境や多忙さなどに判断が左右されてしまうのです。特に数多くのメールを受信する立場にある人が、業務上非常に忙しく余裕のないタイミングなど、開封してしまうことは考えられます。だからこそ、報告が非常に大切な要素になるのです。

──日本でもこれから、正しい知見に基づいたソーシャルエンジニアリングの対策の必要性が高まっていくと感じました。ありがとうございました。
《湯浅 大資》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. [Email Security Coference 2016 開催直前インタビュー] “国産”メール企業にしかできないOffice 365・Google Apps メールセキュリティと標的型攻撃対策(クオリティア)

    [Email Security Coference 2016 開催直前インタビュー] “国産”メール企業にしかできないOffice 365・Google Apps メールセキュリティと標的型攻撃対策(クオリティア)

  2. 標的型やランサムウェアへの対抗策を最新事例で解説、「Email Security Conference 2016」を開催(ナノオプト・メディア)

    標的型やランサムウェアへの対抗策を最新事例で解説、「Email Security Conference 2016」を開催(ナノオプト・メディア)

  3. 「CODE BLUE 2016」、新たに2つのトレーニングと3つのコンテストを公開(CODE BLUE事務局)

    「CODE BLUE 2016」、新たに2つのトレーニングと3つのコンテストを公開(CODE BLUE事務局)

  4. 「PacSec 2016」を11月26~27日に開催、賞金総額は約6,700万円(PacSec)

  5. 「攻殻機動隊 REALIZE PROJECT」と「SECCON CTF for GIRLS」がコラボ(SECCON2016、JNSA)

  6. 企業内 CSIRT 構築の勘所、内製? or 外製?…RECRUIT-CSIRTの場合

  7. 10回目となる「Trend Micro DIRECTION」を東京、大阪で開催(トレンドマイクロ)

  8. [Security Days Fall 2016開催直前インタビュー] 人工知能がサイバーセキュリティにもたらすゲームチェンジ(Cylance)

  9. [Security Days Fall 2016 開催直前インタビュー] VDI による IT ガバナンス強化で防ぐ内部犯行と、使い勝手と安全を両立するモバイル活用(ヴイエムウェア)

  10. 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト

  11. Black Hat USA 2016 でプレゼンスを発揮した日本人、アーセナルで注目集めたツールたち

  12. [Email Security Conference 2016開催直前インタビュー] 自治体・企業におけるメール無害化のススメ(フォーティネット)

  13. [Security Days Fall 2016開催直前インタビュー] 企業のセキュリティモラルハザードに対応するには?(フォーティネット)

  14. 「CODE BLUE 2016」の全講演が決定、全自動サイバー攻防戦CGC優勝者も登壇(CODE BLUE事務局)

  15. Black Hat USA 2016 , DEFCON 24 を 128 倍楽しむ方法

  16. [レポート] セキュリティに賭するもの ~ インターポール 福森大喜氏 セキュリティ・キャンプ2016 特別講義

  17. CODE BLUE 第 3 回をふりかえって~ BLUE 篠田佳奈氏インタビュー

  18. [RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く

  19. [Security Days Fall 2016 インタビュー] 「脅威インテリジェンス」活用で攻撃者の先手を打つ次世代セキュリティ(KPMGコンサルティング)

  20. [インタビュー] 鵜飼裕司 今年の Black Hat USA 2016 注目 Briefings

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×