そうか、もう10月も終わりか…標的型(メール)攻撃への対応訓練で妄
今月はなんか、いろんな作文ばっかりしてた…(死
標的型(メール)攻撃の対応訓練って…
このところ、標的型攻撃の話がいろいろ出て来て、それにともなって訓練って話もあれこれ聞くのだけど、とにかく訓練内容がイケてない。
標的型(メール)攻撃対応訓練において、開封率を計測することの何が中途半端なのか
まず、オレは「開封率を計測すること」が意味ないとは思わない。しかし、これだけで充分とも全く思っていない。理由は以下の4点による。
- 開封率を測定して、後日同様の訓練を実施した際に開封率を下げていくという対処は、予防の観点からはある程度役立つが、0%まで持って行かないと(そして実際に攻撃を仕掛けられても0%を維持できないと)全く意味が無い
- 昨今のインシデント対応は、攻撃が来ても有効にならないような、いわゆる予防をやりつつも、実際に仕掛けられて有効になった攻撃を検知し、迅速な対応に移すようにシフトしてきている(これが昨今のCSIRT設立ラッシュにつながっているとも考えている)
- 攻撃側は、日々攻撃対象の研究を行い、標的型攻撃メールに使う内容を「巧妙かつ普通のメールと見分けがつかない」ように持って行っている。その一方で、防御側(というか訓練を仕掛ける側)が攻撃シーンに追随した訓練メニューの刷新を行えていない*1
- 「怪しいメールは開かない」という話を金科玉条*2のように言う人がいるが、そもそも「開かせる」ように工夫するのが標的型攻撃メールである
計測するのは「開封率」+「報告や申告の数とか内容とか」がいいのではないか
前述のように、予防だけではなく検知・対応もできるようにしないといけないのは現状だが、検知・対応をどうやって実現するかは「報告に基づいた対応」を行うのが安直ではあるが現実的だ。
あらかじめ組織内や関係者に「何かおかしいと思ったら連絡報告を」と呼びかけているのが前提ではあるが、実際に「開封」してしまって「やばい」と思った人からの報告を受け付けるような訓練は、有効に機能するという考えを持っている。
もちろん、運用監視の中で検知されるような通信を発生させるようにして、運用監視チームからの報告があがってくるか?てのを見てもよい。
ちなみにこれをやるといいことがいくつかある(と考えている)。
報告も組にした標的型(メール)攻撃対応訓練の課題
社内や組織内で、こういうセキュリティ関連の訓練を企画・実施する場合、最大の課題は「企画する側も本当のインシデントと同様の対応を行う」ためにはどう企画・実行するかという点だったりする。
やるならば、訓練対象の企業のトップや、セキュリティ関連の部署の「一部要員」だけで極秘裏に進めたり(訓練対象に入らない要員だけですすめる)、訓練対象となる組織「以外」の部門から外部の企業に対して訓練を依頼するなどのギミックは必要になってくる。
「訓練で使ったメールの文面が不謹慎である」というお叱りも?
仮にオレにそんな話が来たならば、そんなお叱りは(拝聴するものの)お叱りの内容そのものは全部スルーし、お怒りいただいたことに対して(心の中で)御礼申し上げる。
なぜならば、そんだけ「ひっかかりやすい」パターンだと相手が教えてくれるから。
おそらくだが、攻撃者は「相手がたくさんひっかかってくれる」ならば、どんな手も使う。「訓練でこんな不謹慎な云々と文句を言う」ってのは、ちょっと的外れである。
いわゆる差別とかハラスメントに係る内容は、(企業でやるならば)ちょっとどうかと思う(というか、やったら別の問題が出てくる)ので避けるとしても、まっとうな内容でかつ引っかかりやすいような内容を考案し、訓練に活かすってのはどんどんやっていいのではないか。
イケてないとは書いたが、全く意味がないとは思わない
多く行われている(であろう)標的型メール攻撃の訓練内容がイケてないとは書いたものの、一定の意味はあるとも考えている。
- そういう攻撃があるということを知ってもらう
- 自組織内の(こういう種類の攻撃に対する)強さというか脆さの現状把握を行う
訓練というのは、以下の2つの側面を持っていると考えている。
- 現状をあぶり出し、改善点を見つけ出す
- いつくるかわからない本物の攻撃に適切に対応できるよう、基本動作をマスターさせる
この2つの目的を達成するために必要なことを考え、実装していき、よりよくしていくためのネタを洗い出し、組織を強靭にしていくのが訓練を企画する側の責務だ。その責務を忘れず、「開封率が下がった/上がった」と結果に一喜一憂するだけでなく、本質的に必要なことを地道に遂行していくことこそが、サイバー攻撃の脅威に対抗するために有効な手段の一つである、と信じている。
