昨今、増加し続ける標的型攻撃。むしろ「ばらまき型」にも属する洗練された日本語メールでマルウェアやランサムウェアの感染を狙う事例が増えている。

数年前まで「おはよう!」といったビジネスメールではありえない本文が並んでいた標的型攻撃メールだが、開封率などの推移を見てか、徐々に学習し、今ではあまり違和感を覚えない本文の攻撃メールが増えている。

例えば、企業内で利用される複合機のテンプレートをそのまま流用した攻撃メールでは、紙データのスキャンがPDFで送られてくるため、例えば古いAdobe Acrobatを利用しているPCであれば、その脆弱性を突くコードを挿入したPDFを送ればいい。

また、部署が営業であれば、ルート営業先にいると類推できる業界の主だった企業名、技術者であればワーキンググループや各種業界団体の名前を名乗り、各種オフィスファイルを送れば開封率は高まる。

標的型攻撃、9割はメールから

S&J 代表取締役社長 三輪 信雄氏

こうした現状を背景に、標的型攻撃メール訓練ソリューションを提供する企業が増えている。ただ、これらの訓練は「訓練メールを年に数回送信して、メールに気づいたかどうかをアンケート集計したり、開封した社員の割合を調査する。開封した場合は、もう1回メールを送るだけ」にとどまると、S&J 代表取締役社長の三輪信雄氏は指摘する。

三輪氏は、標的型攻撃のマルウェア感染経路の9割がメールによるものと話す。「極端な話、メールを開かないと(マルウェアに)感染しない。だからメールにフォーカスすべきだし、zipファイルなど暗号化によって中身を閲覧できないファイルが増えている以上、”到達しても開かれないようにする”ことが大切だ」と攻撃メール対策の重要性を説く。

S&Jは、こうした攻撃メールと対策ソリューションの現状を鑑みて、米PhishMEの販売代理店契約を決めた。また同時に、NRIセキュアテクノロジーズも取り扱い、販売拡大の状況にあわせて日本法人の設立も検討する。なお、初年度は100社程度の契約をめざすという。

フィッシュミーは「報告」を習慣化

PhishMEのコンセプトは「報告して対処する」こと。前述の国内のソリューションでは、「開かないようにする」訓練が一般的だが、攻撃メールが増加している現状では開かないことは難しく、「10数%は開いている」(三輪氏)。諸外国ではむしろ、標的型攻撃メールの開封率は40%程度あるとのことで、PhishMEの導入により10%台まで低下する例があるという。「日本では、1桁前半まで抑えられるはずだ」と、三輪氏もソリューションへの自信を口にする。

具体的には、スピアフィッシングやドライブバイダウンロードなどの攻撃手法を再現して訓練メールを送信する「PhishMe Simulator」、攻撃メールを従業員がIT部門に報告するための「PhishMe Reporter」、企業内のセキュリティチームが脅威を識別・ブロック・調査する「PhishMe Triage」、フィッシング関連の脅威データを提供する「Phish Me Intelligence」を提供する。