[DEF CON 23] 正しい標的型攻撃メール訓練の運用法、ソーシャルエンジニアリングの国際的権威クリス・ハドナジーに聞く | ScanNetSecurity
2023.05.31(水)
コンテンツ
注目検索ワード
ホーム 研修・セミナー・カンファレンス セミナー・イベント 記事

[DEF CON 23] 正しい標的型攻撃メール訓練の運用法、ソーシャルエンジニアリングの国際的権威クリス・ハドナジーに聞く

「報告」は大切な効果測定要素です。理想的なのは、フィッシングと察知し、開封前にその存在を報告する従業員です。反対に「開封しなかったが報告を怠った」「開封したが報告した」「開封してなおかつ報告を怠った」これらの従業員すべてに改善の余地があります。

研修・セミナー・カンファレンス セミナー・イベント
毎夏ラスベガスで開催される世界最大規模のハッキングカンファレンス DEF CON では、様々なコンテストやイベントが併催される。

企業のコールセンターなどの電話窓口に関係者を装って直接電話をかけて、入念な準備に基づいた話術(=ソーシャルエンジニアリングテクニック(ソーシャルハッキング)のひとつ)を駆使し、どれだけの情報を引き出すことができたかを競う、DEF CON の中でも異色のイベント「 SECTF (ソーシャルエンジニアリング CTF)」は本年で 6 回目の開催を迎えた。

主催者であるソーシャルエンジニアリングの国際的権威 Chris Hadnagy (クリス・ハドナジー)氏と、同僚の Michele Fincher(ミシェル・フィンチャー)氏、そして、日本でのソーシャルエンジニアリングの教育プログラム展開を検討する、株式会社アズジェントのセキュリティ・プラス ラボ所長の 駒瀬 彰彦 氏の 3 名へのインタビュー後篇では、日本の大規模漏えい事故によって注目が集まった、標的型攻撃メール訓練サービスに話が及んだ。(聞き手:江添 佳代子 氏)


──ソーシャルエンジニアリングの対策を考える場合、日本社会の特徴や独自な点はありますか。

フィンチャー氏:日本は、信用をベースに社会が成り立っている印象があります。人を疑うより信用する国だと思いますので、悪意のある人にその善意を利用されやすい傾向があるのではないでしょうか。米国の場合、米国家安全保障局 (NSA) が国民の個人情報を収集していたということもあり、人々は物事をより悲観的に捉える傾向にあると思います。

──日本では、年金機構における個人情報漏えい事故がマスメディアで大きく取り上げられ、フィッシング対策の一環として、標的型攻撃メール訓練が過度に注目を集めた印象があります。クリスさんに伺いたいのですが、そもそもソーシャルエンジニアリング対策のトレーニングを行う場合、必要な要素や、反対にやってはいけないことはどんなことでしょうか。

ハドナジー氏:ソーシャルエンジニアリングに関するトレーニングで必要なのは、従業員が恐怖や恥ずかしさを感じることが決してないよう配慮することです。恐怖や恥ずかしさを用いて人を育てることはできません。たとえば、フィッシングメールを開いてしまったら怒られる、恥ずかしい思いをするというトレーニング内容がもしあるとしたら、教育効果は得られないでしょう。

また、トレーニングが従業員にかける負担を小さくすることも必要です。忙しい日々の業務を妨げるようなトレーニングは、従業員にとって負担にしかなりませんし、従業員はトレーニングに対し非常にネガティブな印象を持ちます。

私は、1 回のトレーニンングに必要な時間を 60 ~ 90 秒ほどにとどめるべきだと考えています。フィッシングメールを開き、URL をクリックしてしまった従業員に対して、数秒で読める簡潔な説明を見せるような内容が効果的でしょう。

駒瀬氏:日本では、政府や企業が標的型攻撃メール訓練を行う事例がありますが、罰が与えられたり、恐怖や恥ずかしさを感じる内容は存在しないと思います。そこは安心できる部分でしょう。

一方、日本の標的型攻撃メール訓練に関して私が懸念しているのは、トレーニングの教育効果がメールの開封率や URL のクリック率のみで判断されてしまっていることです。費用面もしくは、従業者への負担を考慮してか、十分な期間をかけて訓練を実施しない、開封した担当者の階層毎のリスク評価(役職者が開封した場合の方が、役職を有さない者よりリスクが高いなど)をしないで、クリック率が下がると効果がでていると判断してしまい、トレーニングを終えてしまう企業が多いのが現状です。

──では、いったいどのような項目を指標として、トレーニングの効果を判断していくべきでしょうか。

フィンチャー氏:標的型攻撃メール訓練のようなトレーニングの効果を測定するには、複数の要素を見るべきです。一つ目は、従業員の「報告」についてです。メールを開封したか否かなどは別として、従業員はフィッシングメールが届いたことを企業内の担当者に報告する必要があります。その報告が行われたのかどうか、報告率、そしてメールが届いたことに対する報告が行われたのか、または開封してしまったために報告したのかなども見るべきでしょう。

二つ目は、対象企業にダウンロードされたマルウェア数がトレーニングによりどのように減少したかも見るべきでしょう。開封率やクリック率が減少したにも関わらず、トレーニング実施前と比較してマルウェア数が減少していないのであれば、本来目的としていた効果があったとは言い難いのではないでしょうか。

三つ目は、フィッシングメールの難易度を考慮する必要性です。フィッシングメールの難易度が下がれば、従業員が騙される可能性は低くなり、クリック率は下がります。難易度の低いメールを送ることでクリック率が減少し、トレーニングの効果があったと満足してしまっては、本来の目的がなされていないことになるでしょう。

これらの要素を総合的に検証することが必要ではないでしょうか。開封率やクリック率ではなく、従業員のスキルレベルを把握し、向上していくことがトレーニングの目的だと考えています。

ハドナジー氏:「報告」は非常に大切な効果測定要素です。最も理想的なのは、フィッシングメールだと察知し、開封する前にその存在を報告する従業員です。反対に、フィッシングメールと察知し、開封はしなかったが報告を怠った従業員、察知できず開封してしまったが事後報告を行った従業員、開封したが報告も怠った従業員、これらの従業員すべてに改善の余地があることを認識する必要があると思います。

──トレーニングを実施すべき頻度や規模などについて、教えてください

ハドナジー氏:理想はすべての従業員に対し、毎月トレーニングを行うことでしょう。もちろん企業規模や従業員数、トレーニングに投資することのできる予算などによって行う頻度や範囲の調整が必要なのが現状です。

こういったソーシャルエンジニアリングに対するトレーニングの必要性を周知させるために米国で労力を費やしたのが 6 ~ 7 年前のことでした。当時は私たちも大変苦戦しましたが、今の日本は、ちょうどその時期に差し掛かっているのではないでしょうか。

──トレーニングを受けても、攻撃を 100 %防ぐことはできません。

ハドナジー氏:その通りです。私は、ソーシャルエンジニアリングに長く携わり、専門家として本を書いてすらいますが、それでも昨年一度フィッシングメールの被害にあいました。

──ソーシャルエンジニアリングのプロフェッショナルであるあなたでも、そんなことがあるのですね。

ハドナジー氏:私のように豊富なノウハウを持ち、日々対策を考えている人間でも、メールが届いたタイミング、その時の心境や多忙さなどに判断が左右されてしまうのです。特に数多くのメールを受信する立場にある人が、業務上非常に忙しく余裕のないタイミングなど、開封してしまうことは考えられます。だからこそ、報告が非常に大切な要素になるのです。

──日本でもこれから、正しい知見に基づいたソーシャルエンジニアリングの対策の必要性が高まっていくと感じました。ありがとうございました。
《湯浅 大資》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性 画像

ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性
Proofpoint Blog 第25回「2023年 中小企業を標的とするAPT攻撃分析:サプライチェーンへの攻撃インフラとなる中小企業」 画像

Proofpoint Blog 第25回「2023年 中小企業を標的とするAPT攻撃分析:サプライチェーンへの攻撃インフラとなる中小企業」
Wacom Tablet Driver インストーラー (macOS) にファイルアクセス時のリンク解釈が不適切な脆弱性 画像

Wacom Tablet Driver インストーラー (macOS) にファイルアクセス時のリンク解釈が不適切な脆弱性
キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性 画像

キヤノン製スモールオフィス向け複合機、レーザービームプリンターおよびインクジェットプリンターに複数の脆弱性
「asahi.com」「サーバー環境の移行」等メールに注意喚起 画像

「asahi.com」「サーバー環境の移行」等メールに注意喚起
Tornado にオープンリダイレクトの脆弱性 画像

Tornado にオープンリダイレクトの脆弱性

インシデント・事故 記事一覧へ

申込者のマイナンバーカードに別人の決済サービスが紐付く 画像

申込者のマイナンバーカードに別人の決済サービスが紐付く
盛岡市中央卸売市場にサイバー攻撃、不審メールの送信判明 画像

盛岡市中央卸売市場にサイバー攻撃、不審メールの送信判明
特定非営利活動法人でのメール誤送信、今後はメール管理システムでの配信を実施 画像

特定非営利活動法人でのメール誤送信、今後はメール管理システムでの配信を実施
東京都交通局 広報誌の読者プレゼント応募フォームで個人情報が閲覧可能に 画像

東京都交通局 広報誌の読者プレゼント応募フォームで個人情報が閲覧可能に
産経新聞 NIE メルマガを誤送信しメールアドレスが漏えい、複数人による多段階チェックを必須にし再発防止を図る 画像

産経新聞 NIE メルマガを誤送信しメールアドレスが漏えい、複数人による多段階チェックを必須にし再発防止を図る
指定管理者の特定非営利活動法人が「空き情報メール配信サービス」で誤送信、今後はメールマガジンによる配信に変更 画像

指定管理者の特定非営利活動法人が「空き情報メール配信サービス」で誤送信、今後はメールマガジンによる配信に変更

調査・レポート・白書・ガイドライン 記事一覧へ

ランサムウェア攻撃の 93%がバックアップストレージを標的に 画像

ランサムウェア攻撃の 93%がバックアップストレージを標的に
IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説 画像

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説
「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料 画像

「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料
AI は脅威インテリジェンスを生成できるか、NEC技術者検証 画像

AI は脅威インテリジェンスを生成できるか、NEC技術者検証
日経225企業の6割がDMARC導入、調査開始から27%増加 ~ TwoFive調査 画像

日経225企業の6割がDMARC導入、調査開始から27%増加 ~ TwoFive調査
拡張子「.akira」で暗号化するランサムウェア「Akira」~ 1988年のあの映画か 画像

拡張子「.akira」で暗号化するランサムウェア「Akira」~ 1988年のあの映画か

研修・セミナー・カンファレンス 記事一覧へ

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣 画像

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」 画像

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催 画像

テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催
サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート 画像

サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート
今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催 画像

今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催
2023年度「実践サイバー演習 RPCI」受付開始、会場移転し定員48名に拡大 画像

2023年度「実践サイバー演習 RPCI」受付開始、会場移転し定員48名に拡大

製品・サービス・業界動向 記事一覧へ

GMOイエラエ、フィンテック企業の OSINT サービス事例 ~ パスワード運用ルール見直し ほか 画像

GMOイエラエ、フィンテック企業の OSINT サービス事例 ~ パスワード運用ルール見直し ほか
AeyeScan blog 第2回「AIプログラミング編」 画像

AeyeScan blog 第2回「AIプログラミング編」
長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力 画像

長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力
カスペルスキー、鹿児島大 静岡大と共同でGIGAスクール版セキュリティ啓発教材開発 画像

カスペルスキー、鹿児島大 静岡大と共同でGIGAスクール版セキュリティ啓発教材開発
GMOイエラエで発足した脆弱性調査研究チームが「Ricerca CTF」で優勝 画像

GMOイエラエで発足した脆弱性調査研究チームが「Ricerca CTF」で優勝
無効な Google アカウントに関するポリシーを更新、2年以上使用されていない場合削除対象に 画像

無効な Google アカウントに関するポリシーを更新、2年以上使用されていない場合削除対象に

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×