標的型攻撃メール
対応訓練実施キット
自前で標的型メール訓練を行うからこそできることがあります! 手間も時間もかけることなく、標的型攻撃メールの対策訓練を実施したい。 そんなセキュリティ担当者様のための切り札発行:縁マーケティング研究所
概要ご案内資料
「標的型攻撃メール対応訓練実施キット」
は、
誰かたった一人でもひっかかってしまえば、
二次、三次の被害も含めて、組織に甚大な被害をもたらす
「悪意のあるプログラム」が埋め込まれたメール(標的型メール)
に
組織として対処できるよう、標的型メールを模した訓練メールを自前で
作成し、組織内に送信することで、専門の業者に頼ることなしに訓練の
実施を実現する、セキュリティ担当者のための
ちなみに「標的型攻撃メール」とは・・・ 標的型攻撃メールとは、ターゲットとする企業や組織が保有する重要な情報を 盗み出したり、何かしらの損害を与える事を目的として、ターゲットに対して ピンポイントにメールを送る形で行われるサイバー攻撃です。 攻撃者は巧妙且つ、狡猾な手口で、ターゲットとする組織のユーザーに向けて、 マルウェアを含む添付ファイルや、マルウェアに感染させるためのURLリンクを 含んだメールを送ってくることが特徴で、ユーザーがうっかり添付ファイルを 開いてしまったり、URLリンクをクリックした場合、攻撃者が仕掛けた マルウェアに感染し、結果、重要な情報の漏洩など、甚大な被害を被る危険性が あります。 攻撃というと大げさですが、愉快犯から犯罪組織まで、企業を狙ってのアタック は日常茶飯事的に発生しており、ネット上には、知識を持たないユーザーでも 簡単に攻撃を行うことができる手口が公開されているため、被害報告の件数も 毎年、増加傾向にあります。 「標的型攻撃メール」は人の心理の隙を突く攻撃で、セキュリティ対策ソフト だけでは防ぎきる事が難しいため、被害の発生を防ぐにはユーザー教育による 対策も必要です。模擬訓練による実体験は、ユーザーの経験則として知見化
標的型攻撃メール対応訓練実施キット
には、
訓練を実施するために必要な以下のもの一式が含まれています。
1.模擬のマルウェアプログラム
2.訓練用のメール本文の文例(テンプレート)
3.訓練の実施手引書
4.訓練対象者向けの教育用コンテンツ
5.模擬マルウェア開封者の集計用ツール
既に出来上がっているものを利用して訓練が実施できるので、
面倒な文章を考えたりといった訓練実施の準備の手間を
大幅に軽減できます。
このキットの特徴
1.訓練のために専用のシステムを用意する必要がありません。
2.マクロを使わないので、マクロが禁止されているパソコンも
訓練対象とすることができます。
3.既に出来上がっているものを手直しするだけなので
準備に手間がかかりません。
4.模擬マルウェア開封者の情報をメールで受信する形なので
リアルタイムに開封状況を確認できます。
5.模擬マルウェア開封者の集計用ツールが用意されているので
開封者情報の集計に手間がかかりません。
このキットが生まれたきっかけについて、実話のストーリーをPDFのレポートとして公開しています。 併せてお読みいただくと、このキットの特徴をよりご理解いただけるものと思います。 とある企業の訓練実施で僕がやったこと「標的型攻撃メール対応訓練実施キット」誕生秘話 ダウンロードURL→http://kit.happyexcelproject.com/download/ToaruReport.pdfこのキットを使った訓練実施の流れは以下のようになります。
※以下は一例です。必ずしも以下の通り実施いただく必要はありません。どのように実施されるかは貴組織次第です。 訓練対象者に 事前の教育を実施①
②
模擬のマルウェアプログラムを作成③
訓練対象者に訓練開始をアナウンス④
訓練対象者に訓練メールを送信 ツールで模擬のマル ウェアを開いた人の 情報を集計⑤
効果測定のための 理解度測定を実施⑦
実施結果から、 今後のアクション プランを検討⑧
⑥
訓練対象者に種を明かして訓練終了 教育用コンテンツをキットに同梱 プログラムをキットに同梱 訓練メールのテンプレートを同梱 集計ツールをキットに同梱 メールのテンプレートを同梱 理解度確認のための 質問サンプルをキットに同梱 一連のサイクル実施については、手引書をキットに同梱していますので、手引書に従って進めていただければ、 迷うこともなく訓練を実施していただけるよう、構成されています。標的型攻撃メール対応訓練実施キットでは、以下のようにして
訓練を実施することになります。
1.模擬のマルウェアプログラムを作成していただく。
2.作成したプログラムを添付したメールを従業員に送付する。
3.添付ファイルを開いた人の情報をメールで受け取る。
4.受け取ったメールをツールで集計する。
※添付ファイルを開いた人の情報はメールを使って収集する仕組みとしているため、 訓練実施対象者のパソコンから、メール送信サーバ(SMTPサーバ)への接続ができる ことが必要となります。 ※SMTPサーバへの接続ができない場合は代替策がありますので、SMTPサーバに接続できないと このキットが使えないということはありませんが、SMTPサーバに接続できる方がベターです。開封者情報を収集
メールを使って収集します。
訓練メールに添付した模擬のマルウェアプログラムを誰が開いたか?を 確認するための、いわゆる「開封者情報」については、本キットではメールを使って 収集を行います。これが、本キットの特徴でも有ります。 メールを使うという仕組みのため、訓練実施対象者のパソコンから、メール送信サーバ に接続することができる事が条件になりますが、既にあるメールサーバを使用する仕組 みなので、訓練実施用にサーバを用意するといった必要が無く、また、プログラムが開 封されたらすぐにメールが送られてくることになりますので、訓練実施と同時に、誰が 模擬のマルウェアプログラムを開いてしまったのか?を把握することができます。 訓練を実施したその日のうちに結果がわかるので、上司への報告に時間がかかって しまうということもありません。開封者情報の送信に際しては、模擬マルウェアプログラムが、
SMTPサーバと直接通信を行って送信します。
模擬マルウェアプログラムが、SMTPサーバと直接通信できればよいので、 訓練対象者が使用しているメールソフトは何であっても構いません。 逆に、模擬マルウェアプログラムが、SMTPサーバと直接通信できることが必要と なってくるので、モバイル環境など、模擬マルウェアプログラムが開かれた時に、 SMTPサーバと通信できない場合は、開封者情報を送ることはできません。 ※ 訓練対象者のパソコンのSMTPポート(25番ポート、465番ポート、587番ポートの いずれか)が空けられていることが最低限必要です。 但し、画面は表示されるので、SMTPポートが空けられていなくとも、 模擬マルウェアプログラムを開封した方に、教育用コンテンツを見せることはできます。
なお、SMTPサーバは使わずに、メールの送信をWebサーバから行う代替策をご利用の 場合は、訓練対象者のパソコンからは、WebサイトにアクセスができればOKです。開封者情報の集計はどのようにして行うのでしょうか?
Excelのツールをご提供します。
本キットでは、メールで受信した開封者情報を集計するためのExcelツールをご提供します。 Microsoft OutLookで開封者情報を受信できる環境なら、メールを受信したフォルダを 指定するだけで集計を行うことができます。 Microsoft OutLookを使って開封者情報を受信できない場合は、メール本文をeml形式 データとしてエクスポートするなどして、Excelツールにコピー&ペーストする手間が必要 になりますが、この手間がかかることを除けば、集計自体は簡単に行うことができます。 実際にExcelツールを使って、1,000件の開封者情報を1分とかからずに集計する デモ動画を以下のURLで公開しています。 http://kit.happyexcelproject.com/video-demo/キットで収集できる開封者情報はどのようなものでしょうか?
キットでご提供する模擬マルウェアプログラムでは、 訓練対象者のパソコンから、以下の順で情報を取得するようになっています。 これらの情報を基に、添付ファイルを開いた人は誰であるかの特定を行うことに なります。1.ActiveDirectoryから取得できる情報
2.Microsoft OutLookに設定されているメールアドレス情報
3.パソコンのログイン情報
情報が取得できた段階で開封者情報の送信を行うため、 ActiveDirectoryに参加していない場合は、OutLookの情報を、 OutLookの情報も取得できない場合は、パソコンのログイン情報を、 開封者の情報として取得し、送信することになります。模擬のマルウェアプログラムとはどんなものなのでしょうか?
キットを使って作成できる模擬のマルウェアプログラムは、exe実行ファイルです。 これを開く(実行する)と、以下のダイアログ(4つのタブ画面で構成)が表示される ようになっており、このダイアログにユーザに伝えたい内容を記載することで、 その場で標的型メール攻撃に関する教育ができる仕組みになっています。 以下は試用版で表示されるダイアログの画面ですが、この画面に表示される 内容は自由にカスタマイズすることができます。 4つのタブ画面で構成 全てのタブ画面を閲覧し ないと閉じることができな いよう配慮 画面の内容は自分で自由に カスタマイズが可能。プログ ラムを作る必要はありませ ん。模擬のマルウェアプログラムはどうやってカスタマイズするのでしょうか?
模擬のマルウェアプログラムのカスタマイズと、メールに添付する実行ファイルの生成は、 Microsoft社から提供されている無償のツール「Visual Studio Express for Desktop」を 使っていただくことになります。 プログラムのソース(VB.NET)は公開していますので、機能の追加などはご自身で自由に 行っていただくことが可能です。 実際にVisual Studioを使って、exeファイルを5分で作成するデモ動画を 以下のURLで公開しています。 Visual Studioについては、Microsoftのサイトをご覧下さい。 https://www.microsoft.com/ja-jp/dev/default.aspx
模擬マルウェアプログラムではこんなことができます
1.開封者情報メールの送信はSMTP認証に対応
2.メール本文の内容は暗号化が可能
3.模擬のマルウェアプログラムを開封した際に表示される
ダイアログの内容については自由にカスタマイズが可能
4.VB.NETの知識があれば、模擬のマルウェアプログラム自体を
カスタマイズすることも可能
5.SMTPサーバが利用できない場合はWebサーバを利用して
開封者情報を回収する事も可能
6.マルウェアプログラムをユーザが閉じた後に、教育用のラーニング
サイトなど、指定のサイトを強制的に表示させることも可能
7.指定日以降は開封者情報メールを送信しないようにすることも可能
以下のように、訓練対象者のパソコンがメール送信サーバ(SMTPサーバ)に接続できる 環境が用意できれば、このキットを使って訓練が実施できます。 【ご注意下さい】訓練対象者のパソコンのSMTPポートが閉じられている場合はSMTPサーバに接続できません。 SMTPサーバ (Port25 or Port587) インターネット SMTPサーバ
(Port25 or Port465 or Port587) インターネット
メールサーバ
SMTPサーバ
(Port25 or Port465 or Port587)
外部のSMTPサーバに 接続して組織内のメールの やり取りができる