セキュリティコラム（第３回） ： 訓練、演習の重要性（結局は人）

このセキュリティコラムは、情報セキュリティに関する疑問や課題について専門家以外の方にもわかりやすく説明していくことを目的としています。第3回目は、情報セキュリティに関する訓練、演習の重要性についてです。

「ソーシャルエンジニアリング」という用語をご存知でしょうか。人を操って（導いて）行動を起こさせる行為で、人間の心理的な隙や困った人を助けたいという気持ちなどに付け込み、特殊詐欺（振り込め詐欺など）には勿論のこと、サイバー攻撃にもよく使われています。

古くは、2000年に登場して2日間で世界中の45億台のコンピュータに感染したといわれているラブレターウイルス＊1にも、人の興味を引いて添付ファイルを実行させるソーシャルエンジニアリングが使用されていました。

サイバー攻撃の黎明期には、攻撃者が自らの能力を誇示して自己顕示欲を満たすために不正プログラムを作成・配布することが多く見受けられましたが、現在では情報や金銭を詐取することが攻撃者の目的であることが多く、攻撃者の動機や目的、攻撃手法などは大きく変化しています。

しかしながら、今も昔もサイバー攻撃を仕掛ける最初の一手は依然としてソーシャルエンジニアリングが多く使われており、「芸能人になりすましたメール」、「Amazon緊急通知」や「Apple IDが無効」といった件名のメールで人を騙す手法が後を絶ちません。このことは、侵入の糸口として人を騙すことが攻撃者にとって効率的な方法であることを意味します。

＊1：メールの件名が「I LOVE YOU」、本文に「kindly check the attached LOVELETTER coming from me（あなたへのラブレターを読んでください）」となっており、添付のファイルを実行するとOutlookのアドレス帳に登録されたメールアドレスの全てに、自動的に自分の複製を送信するウイルス。

1990年代において、Microsoft OfficeのWordやExcelなどに実装されているマクロ機能を悪用したマクロウイルスが代表的なコンピュータウイルスでした。マクロウィルスは、Office 2007から初期設定でマクロが無効化されたことから下火になってきましたが、2014年から再び増加に転じています。

このことは、サイバー攻撃の変化に伴い、対策手法が従来のファイヤウォールやウイルス対策ソフトに加え、前回ご紹介したWAFを始めとする多種多様なものが登場するなど、技術的な対策が飛躍的に進歩し、企業に対する外部からの攻撃が通じにくくなっててきたことが背景にあると考えられます。対策手法が進歩する中、攻撃者は、ソーシャルエンジニアリング手法により、ターゲットである企業の従業員にWordやExcelを開かせて不正なマクロを実行させることで、サンドボックスなどのセキュリティ対策を回避し、攻撃を実行するように攻撃のやり方を変えてきたのです。

ソーシャルエンジニアリングを用いたサイバー攻撃に対抗するには、最新の対策を実施することと同じくらいに、経営者層やセキュリティ担当者は勿論のこと、全従業員がサイバー攻撃の手口に対する理解を深めるとともに、攻撃者に騙されないように日頃から訓練や演習を通じて対処態勢を整えておくことが重要です。

私たちが特殊詐欺（振り込め詐欺など）の被害に遭わないように、警察や金融機関といった機関がウェブサイト等で啓発活動をしているのをご存知の方も多いと思います＊2。警察庁の特殊詐欺対策ページでは、犯人が「会社の金を使い込んだのがバレた」「借金の返済に追われている」と被害者に電話をかけるといった具体的な犯罪の手口が掲載されており、このウェブサイトを確認することで犯罪に対する知識を得ることが出来ます。

サイバー攻撃に関しても、警察その他の機関が参考になる啓発情報を公開しています。例えば、福岡県警察本部サイバー犯罪対策課が公開している「サイバー妖怪図鑑」＊3では、フィッシング詐欺や標的型攻撃といったお馴染みのサイバー犯罪やサイバー攻撃の手口と対策について、セキュリティに関する専門知識がない人にとっても理解しやすいように漫画で説明されています。

＊2：警察庁「振り込め詐欺対策HP」 
https://www.npa.go.jp/safetylife/seianki31/1_hurikome.htm

＊3：福岡県警察本部「サイバー妖怪図鑑」
http://www.police.pref.fukuoka.jp/seian/cyber/cyber_manga/cyber_youkai_tokushu.html

訓練、演習の重要性について述べてきましたが、企業が自力でサイバー攻撃を想定した従業員向けの訓練などを実施することは容易ではなく、専門業者に委託することが一般的です。多くのセキュリティベンダーがサイバー攻撃対応訓練をサービスとして提供していますが、訓練や演習は実施すること自体が目的ではなく、訓練後の啓発や事業継続への影響を踏まえた対処態勢の整備につなげていくことが重要ですので、企業のリスクマネジメントに関する知見を有する業者に委託することが望ましいと考えます。

『SOMPO CYBER SECURITY』では、リスクマネジメント事業会社として、リスクの定量評価、事業継続コンサルティング、セキュリティ体制構築支援など、企業のリスクマネジメントに関する豊富な実績と知見を活かし、頻発している標的型攻撃メールへの対処方法を従業員全員が理解することをサポートする『標的型攻撃メール訓練サービス』をご提供しています。また、サイバー攻撃が発生した場合を想定し、経営者層・セキュリティ担当者の意思決定や対応策についての有効性を評価する『サイバー攻撃想定訓練』などの関連サービスをご提供しています。これを機会にサイバー攻撃への訓練、演習をご検討いただくことをお勧めいたします。

『標的型攻撃メール訓練サービス』の詳細は、こちらをご参照ください。

『サイバー攻撃想定訓練』の詳細は、こちらをご参照ください。

平原 伸昭
（クラウドセーフ株式会社　代表取締役）

2002年に大手セキュリティベンダーに入社以来、 情報セキュリティ分野に従事し、不正プログラムに関する動向や解析、サイバー攻撃、サイバー犯罪、コンピュータに残された痕跡情報調査の分野に精通。多くの政府・企業・団体におけるセキュリティ事故への対応を経験。

2017年4月、 ITの安全、安心、簡単利活用で企業の成長に貢献したいという想いからクラウドセーフ株式会社を創業。

サイバーセキュリティに関して多くのIT関連記事を寄稿。
企業、団体へのセキュリティトレーニング、大手損害保険会社、上場企業、大手製造業、スタートアップ企業等の技術顧問を務める。

ＳＯＭＰＯリスクマネジメント株式会社サイバーセキュリティテクニカルアドバイザー、
警察庁「総合セキュリティ対策会議」委員、
愛知県警察サイバー犯罪・サイバー攻撃対策アドバイザー、
福岡県警察サイバー犯罪対策テクニカルアドバイザー、
北海道警察サイバー攻撃対策アドバイザー
などを務める。

GCFA（GIAC Certified Forensic Analyst ）
CHFI (Computer Hacking Forensic Investigator)