ランサムウェアによる被害がマスコミで騒がれ、ランサムウェアから会社や組織を守るため、標的型攻撃メールへの対策を真剣に検討されている担当者も多いと思います。
しかし、以前の記事でもお伝えした通り、標的型攻撃メール訓練を外注で行うと、想像以上に高額な代金が必要な現状を書きました。
たとえ情報化部門のあたながランサムウェア対策を経営層から命じられ、標的型攻撃メール対策訓練の必要性を感じても、上層部や経営層は、そんな高額な費用を払ってまで、標的型攻撃メール訓練を実施すること決断してくれない会社も多いでしょう。
内製で無料で標的型攻撃メール訓練は実施できます
標的型攻撃メールの実例を真似て訓練
ランサムウェア対策のために標的型攻撃メール訓練を外注で実施しても、外注業者が何か特別なことをしてくれるわけではなく、最近世間で確認されている標的型攻撃メールの実例を真似たメールを送る、というのが基本です。
お金を払うのが馬鹿らしいほど簡単な訓練です。
ならば、内製で無料で出来る、もっとも簡単で、わずかな知識だけで実施できる標的型攻撃メール訓練方法とは、怪しいメールをあなたが作り、メーラーで差出人、差出アドレスを偽装して送る、それだけです。
送信するときは、ワードファイルを添付しても良いでしょう。
そのワードファイルに「不審なメールは開かない、不審なメールに添付されているファイルは開かない」と、簡単な教育コンテンツを記載するだけ十分です。
そして、数時間後に、「標的型攻撃メール対策の訓練を実施した」と、「送ったメールと同じような標的型攻撃メールによる被害が多いので、先ほどのような不審な、あるいは心当たりのないメールは開かないで下さい」「不審なメールに添付されているファイルは開かないで下さい」と書かれたフォローメールを配信するだけでも、十分な標的型攻撃メール訓練になるのです。
この、無料で誰にでも出来るもっとも簡単な標的型攻撃メール訓練の注意点は次の通りです。
差出人には実在する組織名を使わない
外注、内製、有料、無料を問わず注意する点は、模擬の標的型攻撃メールの差出人名には実在の組織名を使わない、あるいは実在する組織とよく似た組織名を使わないでください。
標的型攻撃メール訓練の訓練メール受信者が実在する組織に問い合わせ、混乱を招いた例があります。
訓練メールの差出人を設定する際には、実在しないことが明らかな名称を設定してください。
内製で無料で訓練し、開封率、閲覧率を調べたい場合
実際に自社、自組織では、どれくらい、不審なメールに添付されたファイルを開封する人がいるのか、あるいは、不審なメール本文に記載されたwebサイトを閲覧してしまうのか、を調べたいと考えるなら、アクセス解析の出来るwebページが作成出来る、という条件がクリア出来るなら可能です。
Webページ閲覧率を調べる方法
本文中の誘導URLをクリックして仮のマルウェアに感染するサイトを閲覧した人を調べるなら、訓練対象者の数だけ、同じ内容のwebページ(標的型攻撃メールに対する教育コンテンツ等)を作成しておきます。(例えばa.html、b.html…)
そしてAさんに送る訓練メールにはwww.●●/a.htmlへのURLを、Bさんに送る訓練メールにはwww.●●/b.htmlへのURLを記載したメールを送信します。
それぞれの訓練用webページにアクセス解析を行えば、本文に記載されたURLをクリックして閲覧してしまった場合、アクセス数1以上となるので、アクセスがあったwebページURLは、誰に送ったメール本文に記載したものかを調べるとこで、誰が不適切な行動をしたのか把握出来ますし、送信数から算出するクリック率も分かります。
訓練用模擬標的型メール例
最近ではフィッシングサイトへの誘導メールによる被害も発生していますし、マルウェアダウンロードサイトへ誘導する標的型攻撃メールも多いので、この方法だけも教育、啓発効果は確実にあります。
また全E-mailユーザーに対して訓練を実施しなくても、内製で無料で実施した訓練結果(閲覧率の高さ)を上層部に報告し、予算を取って、本格的に外注で全E-mailユーザー向けの標的型攻撃メール訓練実施につなげていく等、やっただけの効果は得られるし、標的型攻撃メール訓練を無料で内製で実施した苦労は報われると思います。
添付ファイル(Wordファイル)開封率を調べる方法
Wordファイルを使って開封率を調べるには、マクロなど使わずに、Webサーバに保存された画像のリンクをwordの本文に埋め込み、その画像のURLにアクセスしたサーバのログを元に、ファイルを開封した人や開封率を把握します。
埋め込む画像は横1ドット×縦1ドットの小さな画像でも、自社のロゴ画像でも、なんでも構いません。Wordの文章自体は標的型攻撃メールに対する教育コンテンツ等とするのが良いでしょう。
Webサーバに保存された画像を埋め込んだWordファイルの作成方法
Webサーバに保存された画像を埋め込んだWordファイルの作り方は以下の通りです。
訓練の際は、訓練対象者ごとにWebサーバに保存された画像を埋め込んだWordファイルを作成することになるので、訓練対象者の数だけ、以下の作業を繰り返すことになります。
1.画像リンクを埋め込んだHTMLファイルを作成する
windows標準のメモ帳を開き、以下のHTMLコードを記述し、保存後、適当なhtmlファイル名に変更します。(例 新しいテキストドキュメント.txtで保存後、index.htmlに変更)「画像URL」の部分は、実際にwebサーバから呼び出す画像リンクのURLを記述して下さい。
<html>
<head><title></title></head>
<body>
<img src=”画像URL”>
</body>
</html>
2.先の手順1で作成したHTMLファイルをWordで開く
作成したHTMLファイルをWordで開きます。Wordで開くと、文章の中に画像が表示されていることを確認します。
横1ドット×縦1ドットの画像だと、良く見ないと分かりにくいと思いますが、誤って画像を削除してしまうと、開封者を特定することが出来なくなるので、小さな画像は誤って消してしまわないよう、気をつけて下さい。
また、この画像は必ずWord文章の1ページ目に表示されるようにします。
3.通常のWordファイルとして保存する
後は通常通り、Wordで教育コンテンツの作成、編集作業を行います。
編集が完了したら、Wordファイル(.docx、.doc)として保存します。
これで、訓練メールに添付するWordファイルの作成は完了です。
対象者の数だけ画像ファイルとWordファイルが必要です
添付ファイルとなるWordファイルの名前は対象者全員共通で大丈夫ですが、添付されるwordファイルに埋め込まれている画像は対象者ごとに違う画像(違う画像ファイル名)にする必要があります。
つまりAさんに送るメールに添付されたwordファイルに埋め込まれた画像のURLはwww.●●/a.jpg
Bさんに送るメールに添付されたwordファイルに埋め込まれた画像のURLはwww.●●/b.jpgとして、人数分だけ順次この作業を行う必要があります。
受信メールを開いた人数は分からない
この訓練では、メールに添付されたファイルやメール本文のURLリンクをクリックしてWebサイトを閲覧した人数は把握できますが、肝心の模擬標的型攻撃メール自体を開いたかどうかまでは分かりません。
標的型攻撃メールを何人が開いたのか、そのうち何人が添付ファイルを開封したか、などは分からないのです。
これは、情報セキュリティベンダーが実施する高額な訓練でも同じことで、何百万円も出しても、この記事で私が書いている訓練と計測しかしてくれません。
「我が社では、標的型攻撃メールを受信した場合、何人がそのメールを開くのだろうか?」ということは情報セキュリティベンダーに外注しても分からないのです。
対象者が全員欠席なら開封率は0パーセント
つまり、たとえ100人に模擬訓練用の標的型攻撃メールを送信しても、その100人全員が仮に欠席していると、開封率0パーセントという、すばらしい結果になります。
せっかく何百万円も払ってそんな結果が報告されたとして「そんなことないはずだ!対象者全員が模擬訓練用の標的型攻撃メールを開いて読んだの?」と外注業者に聞いても「それは分かりません」としか答えないのです。
所詮、標的型攻撃メール訓練はそんなもの
つまり、標的型攻撃メール訓練を無料で内製で実施しても、高額な費用をかけて外注で実施しても、何も精度は変わりません。
何人が不審なメールを開いてしまったのかは分かりません。
添付ファイルを開封した、あるいは本文中のURLをクリックしてwebサイトを閲覧したのは何人だった、ということが分かるだけです。
100人以上を訓練対象とすれば、先に述べた訓練準備には、無料で内製する場合多くの時間がかかりますが、この程度の結果しかわからない標的型攻撃メール訓練に高額な費用を支払い外注する必要があるのかよく考えて下さい。
開封率の説明をしない外注業者もいる
私がここでお話しした標的型攻撃メール訓練の開封率は、客が聞かないと、最後までどういう開封率かを説明しない悪質業者も一部に存在します。
標的型攻撃メール訓練を実施しようと考えた客の多くは、我が社では、一体何人がそんな不審なメールを開くのか、を知りたいので、開封率とは受信した不審なメールを開いた率だと勝手に思い込みます。
でも違います。添付ファイルを開いた人数しか計測できません。
くれぐれも勘違いなさらず、そんな訓練に何百万円も支払う値打ちがあるのか、今一度慌てず落ち着いて考えて下さい。
怪しいメールをあなたが作り、メーラーで差出人、差出アドレスを偽装して送る、そして定期的に標的型攻撃メールの注意喚起メールを出す、これだけでもあなたの会社や組織は標的型攻撃メールに少しづつ耐性が出来るのですから。