標的型メール攻撃訓練ご紹介 株式会社富士通ソーシアルサイエンスラボラトリ Copyright 2015 FUJITSU SOCIAL SCIENCE LABORATORY LIMITED

株式会社富士通ソーシアルサイエンスラボラトリ

１．標的型メール攻撃に関する教育訓練

識別子の入ったメールにより、 開封を確認 管理サーバ（富士通） 10.77.173.140, -, 2011/11/15, 14:15:13, W3SVC1, FJ37205401, 10.77.173.140, 47, 291, 270, 404, 2, GET, /favicon.icoWord文書 (Webビーコン入り) アクセスログ ログ/アンケート集計分析 弊社センター _(被験者A) Aさん宛 メール Bさん宛 メール 識別子A 識別子B 識別子A < 通常の訓練サービス実施時のイメージ > 識別子・・・ 被験者ごとに異なった識別子の入ったメールを送付。 添付ファイル開封やリンククリックの実施率を確認する。 (被験者B) 識別子B 識別子A ②受信・開封 日時 ID ・・・ XX/XX 000X ・・・ XX/XX 00X0 ・・・ ③開封記録 ④アンケート ⑤実施結果集計 ①疑似メール送付 SMTPサーバ

標的型サイバー攻撃対策は、技術に加え、人・組織まで総合的な取り組みが重要です。

攻撃に対する的確な知識と判断能力が身につけられる体験教育の支援プログラムをご提案します。

 疑似的な攻撃を体験することにより、情報保護の必要性について啓発が可能です。 • 疑似的攻撃の結果集計により、標的型メール攻撃に対する社員/職員の耐性（対応力）を可視化 • 標的型メールの受信、アンケートの実施により社員/職員の方の意識向上が図れる  JPCERT/CCによる 「ITセキュリティ予防接種調査報告」 に基づき実施することで、自組織のセキュリティ意識のベンチマークとして活用できます。 ご参考 : 一般社団法人 JPCERTコーディネーションセンター 「ITセキュリティ予防摂取 調査報告書」 http://www.jpcert.or.jp/research/#inoculation2009

危険再認識

 MicrosoftOfficeの

マクロだけが対象と思っ

ていた

 PDFを開くだけで感染す

るとは思っていなかった

 自分には来ないと思って

いた

意識変化

 発信者名だけでなく、

発信者アドレスにも気

をつけるようになった

 文面をよく読むように

なった

 以前より、添付ファイル

を開くのに警戒するよう

になった

管理者課題の顕在化

 情報発信の重要性の

再認識

 エスカレーションの整備

の必要性の認識

 利用者に向けた各種

取り扱い手順の整備の

必要性の認識

 継続的な対策強化



これまでのメールや掲示板、e-learning等での教育では、伝わらなかった部分を周知



実践してみることで、見えていなかった管理者の課題の顕在化



新人教育、派遣契約時の初期教育、運用管理者には年２回など、継続的に実施する

ことを組み込むことで、一過性の対応でなく、継続的に意識の向上を図ることが可能

２．標的型メール攻撃訓練の効果について

開封した人

開封しなかった人

メールA（ふつう）

メールB（いじわる）

手加減しなければ、必ず誰かが開けるメールを作れる

• 差出人：システム管理者

（[email protected]）

• 件名：

【緊急】Windows Update

による脆弱性の回避手順書

• 差出人：部門長名(実名)

（[email protected]）

• 件 名 ：[部門メーリングリス

トヘッダ: 00311] 座席レイア

ウト変更について

＜参考＞弊社内での訓練の結果

３．弊社訓練サービスの概要

【お客様環境】

電子メール利用者 (対象者）

【弊社センター】

イ

ン

タ

ー

ネ

ッ

ト

日時 ID ・・・ XX/XX 000X ・・・ XX/XX 00X0 ・・・ お客様訓練事務局 富士通SE SMTPサーバ ①疑似攻撃メール送付 ②添付ファイル開封/ URLクリック ③開封/URLアクセス記録 ⑤実施結果報告



訓練目的に沿った疑似攻撃メールの内容検討を含む訓練計画を立案します。



標的型メール攻撃に関する注意喚起コンテンツ（流用可能なサンプル）を提供いたします。



疑似攻撃メールを対象者に送信し、添付ファイルの開封やURLのクリック状況を集計します。



メールの送信環境、開封確認・集計環境は弊社がご用意いたします。



過去の実績から得られた、訓練実施時の課題（疑似攻撃メールの強度設定、問い合わせ対

応など）への情報提供・対応支援、訓練結果に対する傾向・改善提言までをご支援します。

集計サーバ アンケートサービス ④アンケート回答

３-１．目的に合わせた訓練実施例

弊社サービスでは、お客様の標的型メール攻撃訓練の実施の目的に沿っ

て、訓練実施のストーリーを定め、その実施を支援します。

目的①：セキュリティ教育の浸透度を確認したい。

→お客様の教育コンテンツを確認させていただき、対象者選抜や教育効果を

確認できるメールコンテンツを検討するところから支援します。

※メール開封者とセキュリティ教育理解度との関係をアンケートで調査

目的②：標的型攻撃を体験させて注意を高めたい。

→体験の目的（「ひやり、はっと」を体験させる／偽装メールを見分けられる

ことを体験させる）を確認のうえ、メールコンテンツの偽装強弱をつけて、

訓練実施を支援します。

目的③：自組織の実態を確認したい。

→お客様セキュリティ統制部署の想定（この程度の偽装であれば、不審と

気づくだろう）を確認させていただき、想定に沿ったコンテンツを検討する

ところから支援いたします。対象者選抜（サンプリング）についても支援します。

※メール受信後のアクションやマインドなどをアンケートで確認して、今後

セキュリティ教育として盛り込むべき項目を明確化

３-２．訓練実施に向けた事前調整など

標的型メール攻撃訓練では、疑似メール内容などに沿って、関係部署と

事前に対応を調整しておく必要があります。弊社サービスでは、想定され

る関係部署との事前調整事項や訓練後の影響を踏まえて、疑似メール

の内容を検討いたします。

例①：システムサポート窓口との調整

→疑似メールの内容がパソコン利用などに関わる場合、訓練対象者（疑似

メール受信者）からお客様内部のシステムサポート窓口等に問い合わせが

入ることが考えられるため、サポート窓口との間で、問い合わせの電話の

対応方法を決定しておきます。

※あるお客様においては、事前に想定していた以上の問い合わせ電話が

サポートデスクに掛かり、パンク寸前になったこともあり、システムサポート

窓口の対応能力を確認するようにしています。

例②：緊急事態に関わる疑似メールは送らない

→疑似メールの内容を緊急事態に関わるものとすると、訓練実施以降、

本当に緊急事態が発生した場合に、「また訓練では」と疑われ、アクションが

遅れてしまう懸念が生じる内容は使用しません。

４．サービス実施の流れ

注意喚起

事前準備

送付テスト

疑似メール配信

種明かしメール配信

アンケート記入

結果報告

◆各種ドキュメントの整備（メール本文、アンケート内容等）

◆システム環境の確認（SPAMフィルタ、メーラー等）

◆疑似メール送信対象者の抽出

◆お客様メール利用者へのセキュリティ注意喚起の実施（全員を対象）

※標的型メールの理解、受信した場合の対処方法、等

※お客様ご要望に基づくコンテンツの個別カスタマイズはオプションとなります。

◆お客様訓練事務局ご担当宛てへのメール送信テスト

※状況により、事前にメールサーバのフィルタルールを一時的に

変更して頂く必要があります

◆弊社センターより、訓練対象者宛てに疑似メールを配信（２回）

訓練対象者全員への一括送信

◆訓練事務局または弊社より、訓練対象者宛てに種明かしメールを配信（２回）

※この際に、アンケートURLへ誘導します

◆訓練対象者より、標的型メール訓練に対するアンケートを記入

◆弊社にて、アンケート内容を集計

◆添付ファイル開封またはURLクリック集計結果のご報告

◆アンケート集計結果のご報告

１

回

ま

た

は

２

回

の

実

施

５．実施内容（例）

◆訓練対象者に対して、弊社サービスにより疑似メールを２回送信します。

●組織全員、または、各部署からランダムに選抜した対象者

※組織別の傾向を確認するためには、組織横断で対象者を選抜されることが望まれます。 ※2回目の訓練は、注意の高まり度合いを確認する目的で、1回目と同じ対象者に対し、疑似メールを送信します。

◆疑似メールとしては、下記２種類のメールを使用します。

①疑似マルウェア(ファイル)添付型メール

※対応する添付ファイル形式は次頁に記載します。

②URL(マルウェアリンク)誘導型メール

※１回目と２回目で種類の異なるメール送付も対応いたします。

◆疑似メールの送信元アドレスは、弊社指定の社外アドレスを用いて送信いたします。

◆疑似メールの本文や添付ファイルの内容等は、弊社提供のサンプルをベースに、検討いたします。

◆弊社より、注意喚起の資材提供を行い、お客様側で自組織のルール等に基づく手直しを行って、

資料公開（資料配布）します。

◆1回目の訓練実施後に、標的型メール攻撃に関する認識度合い等を確認するために、

弊社保有のアンケートシステムを用いたアンケートを実施いたします。

なお、アンケートは無記名での集計となります。

◆添付ファイル開封やURLクリック、ならびに、アンケート結果を分析し、標的型メール攻撃に対する

認識度合いや課題を明らかにし、今後の改善ポイントを報告いたします。

５．１．送信できるメールの主な仕様

項目

サービス内容

備考

メール本文

テキストメール

添付ファイル形式

MS-Word文書 ※1

MS-Excel文書 ※1

MS-PowerPoint文書 ※1、※2

PDF ※3

ショートカット ※4

※1 MS-Office2010または2013利用の 場合、メール添付ファイル開封時にセ キュリティ警告メッセージが表示される 場合があります。 ※2 添付ファイルとして使用するPowerPoint 文書には、お客様固有のテンプレートを利 用できません。 ※3 PDFは、ISO19005-1に準拠したものを 作成する必要があります。また、PDF文書 開封時にURL接続確認のメッセージが 表示されます。 ※4 ショートカット実行時に簡単なメッセージの 表示ができます。また、お客様環境で 稼働するウイルス／スパムメール対策ソフト ウェア等により、メール中のショートカット ファイルが除去される場合があります。

添付ファイル名

英数字、日本語、記号、制御文字

（RLO）※5

※5 制御文字を埋め込んだ添付ファイルの開封 時の動作は、お客様利用のメーラーソフト ウェアに依存するため、事前確認が必要と なります。

URLリンク

富士通訓練サービスのURL

＜ご参考＞擬似攻撃メールサンプル

パソコン脆弱性に関する通知

夏季における節電の依頼

表題 パソコンにおける重要な問題点について 送信者 システム管理者<[email protected]> 本文 各位 昨日、Windows に極めて深刻な脆弱性が発見さ れました。 当組合内部において使用しているパソコンにおいても、 情報漏えい、システム停止等、 大きな問題が発生する可能性があります。 現時点ではこの問題を根本的に対策する 修正プログラムは作成されていませんが、 個々のパソコン上での設定による、 暫定回避策が好評されています。 添付のマニュアルに、簡単に解説をしておりますので、 内容を熟読の上、各自で至急対策を行ってください。 情報システム課 添付ファ イル パソコンにおける重要な問題点について.doc 表題 節電のお願い 送信者 総務環境グループ<[email protected]> 本文 各位 総務環境グループより、節電のお願いです。 ご承知のとおり、東日本大震災の発災依頼、原発の稼働 停止等により、特に夏季における電力供給不足が懸念さ れております。 今夏、一律15%削減を目標に節電を実施いたします。 つきましては、下記URLの通り、組織内での節電活動を実 施致しますので、ご協力の程 よろしくお願い申しあげます。 http://www. fsec-servicet.com/xxx/xxxx.html 総務環境グループ 添付ファ イル -

６．役割分担（例）

作業概要

_お客様

役割分担（案）

弊社

訓練事務局

訓練対象者

事前準備

実施手順／スケジュール検討

_{○検討／確認 ― ○検討／作成}

訓練内容・コンテンツの整備

△承認 ― ○作成

関係部署への連絡／調整

○実施 ―

システム準備

― ― ○実施

注意喚起

※１ _{○資料手直し、公開 △資料確認 △資料提供}

送付テスト

_△確認／ 実施前最終承認 ― ○実施

擬似メール配信

△問い合わせ対応 △受領 ○実施

種明かしメール配信

_{○実施 △受領 △内容検討支援}

アンケート記入

_{― ○実施 △システム環境提供}

結果報告

_{△承認 ― ○作成} ○：主担当、△：支援 ※１：弊社より、注意喚起の資材提供を行い、お客様側で自組織のルール等に基づく手直しを行って公開（配布）することを想定しています。

 弊社センターから送信するメールはテキストメールになります。

 訓練対象者のメールアドレスは、CSVファイルでご用意をお願いいたします。

 疑似メールについて、送信元、タイトル、内容等の条件からSPAMメールとして処理される

場合にはお客様メールサーバ等の設定を変更していただくことがございます。

また、訓練対象者が大勢の場合は、お客様のメールサーバの受信能力を確認し、時差送

信とする場合があります。

 添付ファイルの形式により、訓練対象者側の設定によっては添付ファイルを開いても開封確

認ができない場合があります。（詳細については、「5.1. 送信できるメールの主な仕様」を

参照ください。）

 メールの受信者がURLをクリック、もしくは添付ファイルを開いた場合には、受信者のPCから

弊社サイトまでHTTP(S)による通信を行います。

対象者の使用するPCが、外部へHTTP(S)通信を行うことのできる環境であることを事

前にご確認ください。

 メール送信後、対象者様からお客様関連部署に問い合わせが発生する可能性がございま

す。部署のシステム／セキュリティ管理者、もしくはお客様内部のシステムQ&A窓口等には、

７．留意事項、その他

以下ドキュメントを提出いたします。

① 標的型メール攻撃 注意喚起用コンテンツ

② 標的型メール攻撃 疑似メールサンプル

③ アンケート集計ファイル（データ、CSVファイル）

④ 実施報告書

８．納品物

株 式 会 社

富士通ソーシアルサイエンスラボラトリ

(富士通ＳＳＬ)

http://www.ssl.fujitsu.com

E-mail：[email protected]