♪
自分の手で演習用の標的型メールを作成し、
標的型攻撃メール対応訓練実施キットを使えば、自分の手で模擬の標的型攻撃メール を作成し、標的型攻撃メールを実際に体感する「標的型攻撃メール演習」をすぐにで も実施することができます。このマニュアルでは、演習用の標的型メールを作成する 具体的な手順についてご紹介します。標的型攻撃メール対応訓練実施キット 演習用メールの作り方マニュアル
まず初めに
このマニュアルでは、標的型攻撃メール対応訓練実施キットを使って、演習用の標的型メールを作成し、演習用の標的型メールに引っかかってしまったのは誰か? (開封者は誰か?)を集計するまでの流れをご紹介しています。本書をご利用いただくに際しては、以下については既にご準備が済んでいる前提で解説を進めてい ます。 1. 標的型攻撃メール対応訓練実施キット(製品版もしくは試用版)を入手済みである。 2. PHP が動作する Web サーバが使える状態にある。 3. 演習用メールを送信するための SMTP サーバが使える状態にある。 4. 演習用メールの本文は既に考えてある。 5. 演習用メールに添付する Word 文書の元となる文書(原本)は既に用意している。(※Word 文書ファイル添付型の演習を実施する場合)キット試用版一式の入手方法
キット試用版一式については、標的型攻撃メール対応訓練実施キットのホームページにあります「申込みページ」からキット試用版をお申込みいただき、別途お知らせする URL からダウンロ ードいただく、もしくは、Vector のページからダウンロードいただくことができます。 Vector ではアップロードされるファイルやプログラムについてウィルスチェックを行っており、不審なプログラムは登録することができない仕組みになっております。今すぐ試用版一式を入 手されたい、もしくは、Vector からダウンロードする方が安心だと思われるお客様は、Vector からダウンロードする方法をご選択ください。 【Vector からダウンロードいただく場合の URL】http://www.vector.co.jp/soft/winnt/edu/se508551.html
キット試用版をご利用いただくには、ライセンスキーが必要になります
キット試用版にはご利用期限を設けさせていただいております関係で、ご利用に際してはライセンスキーが必要となります。 ライセンスキーを入手いただくには、標的型攻撃メール対応訓練実施キットのホームページにあります「お申込みページ」からキット試用版のお申し込みを行っていただくことで、別途メール にてお知らせをさせていただいております。【キット試用版のお申込みページ】
http://kit.happyexcelproject.com/askandorder/
STEP1 演習で使う標的型メールのタイプを決めましょう
標的型攻撃メール対応訓練実施キットでは、以下の 4 種類の標的型メールを使った演習が実施できます。例えば、Word 文書ファイルを添付するだけでなく、メー ル本文中に URL リンクを記載するなど、各種類を組み合わせた形式の演習を実施することもできます。 1. Zip や LZH で圧縮した Exe 実行ファイル(模擬のマルウェアプログラム)を添付した標的型メールを送る演習 ⇒Exe 実行ファイルが実行されたら、標的型攻撃メールに引っかかってしまったと判定します。 2. マルウェアプログラムが組み込まれていると仮定した、模擬の Word 文書ファイルを添付した標的型メールを送る演習 ⇒Word 文書を開いてしまったら、標的型攻撃メールに引っかかってしまったと判定します。 3. メールの本文内に URL リンクを記載した標的型メールを送る演習 ⇒演習用のメールの本文内に記載されている URL リンクをクリックしてしまったら、マルウェアに感染してしまう Web サイトに誘導されてしまった(イコー ル標的型メールに引っかかってしまった)と判定します。 4. Zip や LZH で圧縮した Windows のショートカットリンクファイルを添付した標的型メールを送る演習 ⇒ショートカットリンクをクリックしてしまったら、標的型攻撃メールに引っかかってしまったと判定します。 ※4.のショートカットリンクファイルを添付する形式の演習は、標的型攻撃メール対応訓練実施キットの試用版では実施することはできません。4.の演習を実 施する場合は、製品版に付属の手引書を参照願います。STEP2 演習で使うメールの本文をテキスト形式とするか、HTML 形式とするかを決めましょう
標的型攻撃メール対応訓練実施キットでは、演習用で使うメールの本文として、テキスト形式か、HTML 形式かを選択することができます。 メールの本文内に URL リンクを記載した標的型メールを送る演習では、メールを HTML 形式とすることで、メール本文として見える URL と、実際のリンク先とな る URL を異なるものにすることができます。 HTML 形式のメールでは、左図の例のように、メールソフト上において、本 文として表示される URL と、実際のリンク先となる URL を違うものにする ことができます。STEP3 メールを送信できるようにしましょう
標的型攻撃メール対応訓練実施キットでは、演習用のメールを一括送信するための Excel ツールとして、「メール一括送信ツール」が付属しています。 まずは、「メール一括送信ツール」を使ってメールを送信できるようにします。 「メール一括送信ツール」(SMTP 利用版)を使ってメール送信を行う には、ツールの「メイン」シートにおいて、メール送信に使用するメー ルサーバ(SMTP サーバ)の情報を設定します。 本書では、Gmail を使用してメール送信を行う例をご紹介しますが、メ ール送信に社内のメールサーバを使用されるなどの場合は、メール サーバの管理者から提示されている SMTP サーバへの接続情報を 設定してください。 以下は、Gmail を使う場合の各項目の設定になります。 1. SMTP サーバのホスト名 半角英字で「smtp.gmail.com」を設定します。 2. SMTP サーバのポート番号 半角数字で「465」を設定します。 3. SSL 接続を行うか 「行う」を選択します。 4. SMTP 認証に用いるアドレス Gmail のメールアドレスを設定します。 5. SMTP 認証用のパスワード Gmail へのログインに使用しているパスワード メール送信に使用する SMTP サーバの設定は以上になります。 次のページで、メール本文とメール送信先の設定を行い、 メールの送信ができることを確認します。7.メールの送信間隔 メールとメールの送信間隔をミリ秒で設定します。 メール送信に使用するメールサーバが一定時間内に送信できるメールの数に 制限を設けている場合は、制限に抵触しないよう、メールの送信間隔を設定し てください。 送信間隔を設定する必要がない場合は、空欄のままとします。空欄とした場合 の送信間隔は 500 ミリ秒になります。 【送信するメールの設定】 送信するメール共通の設定として、ツールの「メイン」シートに、以下の設定を行いま す。 1.HTML メールとするか否か メールを HTML 形式で送信するか、テキスト形式で送信するかを選択します。 2.メールの先頭に宛先を入れるかどうか 送信するメール本文の先頭に「○○様」といった宛先名(「送信先リスト」で設定し ます)。 3.送信に使用するメール本文 作成したメール本文をセルに設定します。Excel のセル内で改行するには、ALT キーを押しながら Enter キー(改行キー)を押します。 HTML 形式のメールを送信するには、HTML タグを含めた本文を記載します。 【記載例】 <HTML><BODY> <p>先般ご案内した、危険性の高いスバムメールヘの対策として、<br> 緊急対処を実施いただきたく、対応お願いします。<br> 具体的な対処方法については添付資料をご確認ください。<br></p> <br> 【添付ファイル名】<br> 緊急対処方法のご案内.zip<br> <br> </BODY></HTML> 4.メールのタイトル 送信するメールのタイトルを設定します。 5.メールの差出人 メールの差出人となるメールアドレスを設定します。Gmail を使ってメールを送信 する場合は Gmail のメールアドレスを設定します。 6.メール Cc 先、Bcc 先 送信するメールの共通の設定として、Cc 先、Bcc 先を設定する場合は、送信先の メールアドレスを記載します。複数のアドレスを設定する場合は、アドレスとアドレ スの間に ; (半角セミコロン)を設定します。
送信先リストの設定
メール送信先など、「メイン」シートで設定する以外の項目(個々のメールごとの項目)については、「送信先リスト」で設定します。 【「メール一括送信ツール」の「送付先リスト」シート】 【「開封者情報集計ツール」の「ユーザマスタ」シート】「メール一括送信ツール」の「送付先リスト」シートの各列の設定
1.送付先アドレス(A 列) メールの送信先を、1 行につき1つ設定します。 2.送付先氏名(B 列) 送付先氏名を設定します。「メインシート」でメールの先頭に宛先を「入れない」に 設定した場合は、この項目にはどのような情報を設定しても構いません。 通常は、「開封者情報集計ツール」の「ユーザマスタ」シートの K 列にある 「訓練対象者氏名」の情報を設定します。 3.敬称設定(C 列) メールの先頭に宛先を「入れる」に設定した場合は、B 列で設定した送付先氏名の 後ろに付加する敬称を選択します。「設定しない」を選択した場合は、B 列に設定 した氏名のみをメール本文に付加し、敬称は付加しません。 4.添付するファイルのパス(E 列) メールに添付するファイル(実際のファイル)を、ドライブ名から始まるフルパスで指 定します。 5.メールに添付するファイル名(F 列) 4.の「添付するファイルのパス」で指定したファイルを、別のファイル名でメールに 添付したい場合に指定します。本欄を指定しなかった場合は、4.で指定したファイ ルの名前のままメールに添付されます。 6.送信結果(D 列) メール送信を実行した結果が出力される欄です。ツールが使用する欄になります ので、指定の必要はありません。メールの送信テスト
「メイン」シートの設定と、「送付先リスト」の設定を行ったら、メール送信ができるかどうかのテストをしましょう。 「メール一括送信ツール」でメール送信ができることが確認できれば、後は、意図したとおりのメールの内容となるよう設定を調整するだけです。 メール送信ができるかどうかを確認するには、「メール一括送信ツール」の「メイン」シートの設定を行い、 「送付先リスト」シート・A 列の「送付先アドレス」にメールを送るアドレスを設定します。 ここではメール送信ができるかどうかの確認であるため、送付先アドレスのみの設定で構いません。 また、ここではメール送信の確認をおこなうだけなので、「メイン」シートの「メール本文」や「メールのタイトル」に ついてはどのような設定でも構いません。 設定が終わったら、「メールを送信する」ボタンを押して、メールの送信を行います。 送付先に指定したアドレス宛にメールが届けば、メール送信のテストは完了です。 【「メールを送信する」ボタンを押してもメールが届かない場合】 メール送信の結果は、「送付先リスト」シート・D 列の「送信結果」欄に出力されます。 メール送信サーバに接続できないなど、メール送信時点でエラーが発生している場合は、送信結果欄にエラー メッセージが出力されているはずですので、まずは、「送信結果」欄の出力を確認してください。 【メールが届かない場合は以下の点を確認してみてください】 ・SMTP サーバのホスト名など、SMTP サーバの設定は正しいでしょうか? ・指定した SMTP サーバは、外部からの接続を許可しているでしょうか?Gmail を使用する場合は、Gmail の設 定において、「安全性の低いアプリのアクセス」を許可する の設定を行っておく必要があります。 ・SMTP 認証の設定が必要である場合、認証用のアドレスと、認証用のパスワードが合っているかどうかを確 認してください。 ・「送付先リスト」に設定したアドレスに誤りはないでしょうか?Exe 実行ファイル添付型の演習用メールの送信①(Web サーバを使わない形式の場合)
Exe 実行ファイル(模擬のマルウェアプログラムファイル)を添付する形式の演習用メールを送付する場合で、模擬のマルウェアプログラムが実行されたら、訓練 実施対象者のパソコンから直接、開封者情報のメールが送信される方式を選択される場合は、以下のようにします。 【事前準備】 1. Exe 実行ファイル(模擬のマルウェアプログラムファイル)を作成し、作成したファイルを実行すると、開封者情報メールが届くことを確認しておきます。 ⇒模擬のマルウェアプログラムファイルを作成するための具体的な手順などについては、キットに同梱の手引書を参照してください。2. 1.で作成したファイルを、zip もしくは lzh で圧縮し、保存しておきます。Gmail を使用する場合、Gmail では zip ファイルを添付することができないので、 lzh で圧縮しておきます。 【メール送信設定】 1. Web サーバを使わない形式では、メールの本文とメールのタイトルは開封者情報の集計には影響を及ぼすことはありませんので、どのような内容を設定しても 構いません。 2. 「送付先リスト」に、「送付先アドレス」「送付先氏名」「敬称設定」を行います。 3. 「送付先リスト」の「添付するファイルのパス」に、【事前準備】の2.で保存したファイル名を、フルパスで指定します。 4. メールに添付するファイルのファイル名を、3.で指定したファイル名とは異なるものに設定したい場合は、「メールに添付するファイル名」に、実際に送信さ れるメールに添付されるファイル名を指定します。 Exe 実行ファイルを添付する形式では、【事前準備】の2.でファイルを保存する際に、添付するファイル名を任意のファイル名に設定できるので、わざわざフ ァイル名を変える必要はないかと思います。このため、「メールに添付するファイル名」については、空欄のままでも結構です。 5. Exe 実行ファイル(模擬のマルウェアプログラムファイル)を添付する形式では、「送付先リスト」の G 列から後ろについては使用しませんので、空欄のままで 結構です。
以上の設定が終わりましたら、「メールを送信する」ボタンを押して、演習用のメールが届くかどうかを確認してください。
Exe 実行ファイル添付型の演習用メールの送信②(Web サーバを使う形式の場合)
Exe 実行ファイル(模擬のマルウェアプログラムファイル)を添付する形式の演習用メールを送付する場合で、訓練実施対象者のパソコンから直接、開封者情報の メールが送信される方式を選択することができず、代替策として、exe 実行ファイルが実行されたら、Web サーバへのアクセスを行い、Web サーバから開封者情報 のメールが送信されるようにする場合は、以下のようにします。 【事前準備】 1. Exe 実行ファイル(模擬のマルウェアプログラムファイル)を作成する際、「jmpUrl」に、Web サーバ側に設定した、開封者情報処理用の PHP プログラムにア クセスするための URL を設定すると共に、「keyword」に、開封者情報処理用の PHP プログラムに設定した、不正アクセス防止用キーワードを設定した上で、 exe 実行ファイルを作成します。作成したファイルを実行すると、Web サーバから開封者情報メールが届くことを確認しておきます。 2. Web サーバ側に、開封者情報処理用の php プログラムを設置し、1.で作成した exe 実行ファイルと連動して、開封者情報のメールが届くことを確認してお きます。
3. 1.で作成したファイルを、zip もしくは lzh で圧縮し、保存しておきます。Gmail を使用する場合、Gmail では zip ファイルを添付することができないので、 lzh で圧縮しておきます。
【メール送信設定】
メール送信設定は、Web サーバを使わない場合と同様です。
以上の設定が終わりましたら、「メールを送信する」ボタンを押して、演習用のメールが届くかどうかを確認してください。
Word 文書ファイル添付型の演習用メールの送信
Word 文書ファイルを添付する形式の演習用メールを送付する場合は、以下のようにします。 【事前準備】
1. 演習用のメールに添付する Word 文書の元ファイルを作成しておきます。
2. Word 文書ファイルを添付する形式の演習では、Web サーバとの連動が必要になります。このため、Web サーバ側には、キットに付属の php プログラムを設 定し、動作確認までを完了しておきます。 【個別の Word 文書の作成】 Word 文書ファイルを添付する形式では、誰が Word 文書ファイルを開いたのか?を特定するため、個人を特定するためのキーワードを埋め込んだ個別のファイル を作成する必要があります。このためのツールとして、キットでは「標的型メール訓練用 Word 添付ファイル一括作成ツール」を用意しています。「標的型メール訓 練用 Word 添付ファイル一括作成ツール」の使い方については、ツールに説明が記載されていますので、詳細はそちらを参照いただくとして、ここでは、「メール一 括送信ツール」「標的型メール訓練用 Word 添付ファイル一括作成ツール」「開封者情報集計ツール」の3つの連携の関係について記載します。 <メール一括送信ツール> <開封者情報集計ツール> 特定用キーワードには任意の文字列(但し、半角英数 文字)を設定できますが、ここで指定したキーワード は、開封者情報集計ツールの「ユーザマスタ」シートの E 列「突合キー5」の情報として設定します。 メール一括送信ツールにおいて、「作成したファイルのパス」には、「Word 添付ファイル一括作成ツー ル」で作成した、ユーザ個々の Word ファイルの保存先ファイル名を指定します。
【メール送信設定】 1.「メール一括送信ツール」の「送付先リスト」シートに、送付先のアドレスを設定します。 2.「メール一括送信ツール」の「添付するファイルのパス」に、1.で指定したアドレス宛のメールに添付する、個々の Word 文書ファイルを、フルパスで指定し ます。 3.「メール一括送信ツール」の「メールに添付するファイル名」に、実際に送信するメールに添付するファイル名を設定します。「メールに添付するファイル名」 で指定するファイル名は、フルパスではなく、ファイル名のみを設定してください。 Word 文書ファイル添付型の場合は、メールに添付するファイルを個別のファイルとする必要がありますが、演習用のメールとしては、添付されるファイル名 を、送付先に関係なく全て同じ名称としたいということの方が多いかと思います。このような要望にお応えするため、「メール一括送信ツール」では、「メール に添付するファイル名」を指定すると、メール送信時に指定したファイル名にリネームしてメールにファイルを添付する。ということを行います。 なお、ファイルのリネームは、元のファイルをコピーした上で行いますので、「メールに添付するファイル名」で指定したファイルのファイル名自体は変更され てしまうことはありません。 4.Web サーバに設置した PHP プログラムに設定した不正アクセス防止用のキーワードを、 「送付先リスト」シートの不正アクセス防止用キーワードに設定します。
以上の設定が完了したら、「メールを送信する」ボタンを押して、
演習用のメールが届くかどうかを確認してください。
このように設定すると、test01.docx は、メール送信時には「議事録.docx」に リネームされて送信されます。 <Web サーバに設置している PHP プログラム>URL リンク記載型の演習用メールの送信
演習用メールの本文中に、Web サイトへの URL リンクを記載する形で、演習用メールを送付する場合は、以下のようにします。 【URL リンクの設定】 演習用メールの本文中に設定することができる URL リンクの形式は以下のルールに則って設定いただくことになります。 Web サーバに設定した PHP プログラムにアクセスするための URL?xxxxx=ユーザ特定用キーワード&yyyyy=不正アクセス防止用キーワード 例:http://www.hoge.co.jp/aptkit.php?ret=user01&kwd=je35Tf 「xxxxx」及び、「yyyyy」に設定できる文字列は、半角英文字であれば、どのような文字列でも構いません。Web サーバに設定した php プログラム側では、?に続 く項目(1 番目のパラメータ項目)をユーザ特定用のキーワードと判断し、その後ろの&に続く項目(2 番目のパラメータ項目)を不正アクセス防止用キーワードと 判断します。「xxxxx」及び、「yyyyy」を決定したら、その URL にアクセスしたら、Web サーバから開封者情報のメールが届くことを確認してください。【メール送信設定】 1.「送付先リスト」シートの「実際にアクセスする URL」に、Web サーバに設置した php プログラムの URL を記載します。 2.「送付先リスト」シートの「ユーザ特定用キーワード」に、xxxxx=ユーザ特定用キーワード(例:ret=user01)の文字列を設定します。 3.「送付先リスト」シートの「不正アクセス防止用キーワード」に、yyyyy=不正アクセス防止用キーワード(例:kwd=jE35Tf)の文字列を設定します。 4.「送付先リスト」シートの「メールに記載する URL」は、メールの送信形式を「HTML 形式」とした場合に有効となる項目になります。「HTML 形式」を選択し た場合は、リンクをクリックした場合にアクセスする先とは別に、メール本文上に表示される URL を設定できます。上図の例では、実際にアクセスする URL はhttp://www.hoge.co.jp/aptkit.php?ret=user01&kwd=je35Tfですが、メール本文上に表示される URL は、http://www.hoge.co.jp/index.htmlになり ます。
但し、HTML 形式でメールを送信する場合、受信側のメールソフトで強制的にテキスト形式にて表示を行う設定としている場合は、表記用の URL と、リンク用
5.メール本文の設定 リンク先となる URL については、「メール一括送信ツール」の「メイン」シート・「送信に使用するメール本文」に設定する文言の中で、半角文字で%URL%と 記載することで、「送付先リスト」シートで設定した URL が、メール送信時に埋め込まれます。 <記載例> <HTML 形式のメールを送信する場合> HTML 形式のメールを送信する場合は、HTML タグを含めた本文を「送信に使用するメール本文」欄に設定してください。なお、リンク先の URL については、 HTML 形式の場合でも、%URL%の文字列を埋め込んでください。この場合、A タグは記載する必要はありません。 <記載例> 先般ご案内した、危険性の高いスバムメールヘの対策として、 緊急対処を実施いただきたく、対応お願いします。 具体的な対処方法については添付資料をご確認ください。 【本メールに関する詳細はこちらをご参照ください】 %URL% 【添付ファイル名】 緊急対処方法のご案内.zip 先般ご案内した、危険性の高いスバムメールヘの対策として、 緊急対処を実施いただきたく、対応お願いします。 具体的な対処方法については添付資料をご確認ください。 【本メールに関する詳細はこちらをご参照ください】 http://www.hoge.jp/aptkit.php?ret=user01&kwd=hogehoge 【添付ファイル名】 緊急対処方法のご案内.zip 「メインシート」での本文設定 実際に送付されるメールの本文 <HTML><BODY> %USER%<br> 先般ご案内した、危険性の高いスバムメールヘの対策として、<br> 緊急対処を実施いただきたく、対応お願いします。<br> 具体的な対処方法については添付資料をご確認ください。<br> %URL% 【添付ファイル名】<br> 緊急対処方法のご案内.zip<br> </BODY></HTML> 【HTML 形式を選択された場合の宛先設定について】 HTML タグを含む場合は、メールの先頭部分が判別できないため、宛名を挿入したい 部分に、半角で%USER%と記載してください。 【HTML タグを記載しなかった場合】 HTML タグを記載せずに、メール本文のみの記載とした場合は、改行文字を自動的に <br>に置き換えてメール送信を行います。 HTML タグを記載するのが面倒である、また、HTML タグについてはよくわからないとい う場合は、テキスト形式で送付する場合と同様、「送信に使用するメール本文」欄には、 メール本文のみを記載してください。
STEP4 演習用メールの送信~開封者情報の受信
各演習形式でのメール送信設定が完了し、実際にメールを送ることが確認できたら、実際に演習用メールを送信し、開封者情報のメールが届くことを確認してくだ さい。 送付する演習用メールには、メール本文への URL リンクの記載と、ファイルの添付の両方を行うことができますので、各演習形式を組み合わせた形で、演習用メー ルを送信することができます。この際、どの形式での演習に引っかかってしまったのか(exe 実行プログラムを実行したのか、それとも、URL リンクをクリックし たのか)?については、開封者情報メールの 2 行目(突合 Key1)を参照することで、判別することができます。STEP5 開封者情報の集計
模擬のマルウェアプログラムが実行される、Word 文書が開かれる、URL リンクがクリックされることによって届く、「開封者情報メール」については、「開封者情 報集計ツール」を使って集計を行うことで、誰が演習用メールに引っかかってしまったのか?の情報を集計することができます。 「開封者情報集計ツール」の具体的な使い方については、「開封者情報集計ツール」に説明がありますので、そちらをご参照ください。なお、「開封者情報集計ツール」は Microsoft OutLook と連動させることができるようになっていますので、開封者情報メールについては、Microsoft OutLook で 受信いただくと、最も手軽に集計作業を行っていただくことができます。
OutLook をお持ちでない場合は、Windows Live Mail や、Thunderbird など、受信したメールを eml 形式データとしてファイルに出力することができれば、キッ トに同梱の「eml ファイル取り込みツール」を使用していただくことで、「開封者情報集計ツール」で集計が可能なデータに変換することができます。
