逃れられない脅威である“標的型攻撃メール”とは？

警察庁の発表によると、サイバー犯罪の検挙数は増加傾向にあり、令和３年は上半期だけでも5,000件を超えているという。その中でも標的型攻撃は、IPA※の「情報セキュリティ10大脅威」にて、ここ数年常に１・２位に挙げられている。攻撃手段としてはメールが使われることも多く、自治体職員にとって非常に身近な脅威だ。

鴫原さんは「常に脅威にさらされていると考えるべき」と警鐘を鳴らす。「平成27年に起きた日本年金機構の情報漏えい事件では、約125万件の個人情報が流出し大きなニュースとなりました。自治体の情報は常にねらわれています。とりわけ、標的型攻撃メールは日々進化しており、侵入に気づかないケースも多いのです」。ウイルス対策ソフトやネットワークの分離といった対策で安心している声もあるが、「100％安全な環境はない」と強調する。「標的型攻撃メールは今やウイルス対策ソフトに検知されないものが大半です。メールの文章もいたって自然なものが多く、侵入を完全に防ぐのは困難。そうなると、最後は“人の行動”で守るしかありません」。そこで開発されたのが、同社の「gINC（ジーインク）」だ。

※IPA＝Information-technology Promotion Agency（独立行政法人 情報処理推進機構）

機密情報をねらう“標的型攻撃”とは？

担当者宛ての件名や文章を巧妙に偽装！

“標的型攻撃”は、特定組織をねらったサイバー攻撃の１つ。攻撃メールの場合は、メール開封でPCを感染させて侵入し、攻撃者は感染PCを起点に組織内のシステムを探索。機密情報などを外部に流出させる。ほかにWEBの改ざんや、サーバーへの不正アクセスなどの手法もある。

情報セキュリティ10大脅威ランキング上位3位【組織編】※1

※1 IPA（情報処理推進機構）による「情報セキュリティ10大脅威2021」より抜粋
※2 感染したPCのデータに暗号化などの制限を設け、解除と引き換えに身代金を要求する不正プログラム

水際対策では追いつかない今、必要なのは“侵入前提”の訓練。

同サービスは、標的型攻撃メール対策の訓練ソリューション。一般的に導入されているのはクラウド型で、ダミーの攻撃メールを外部から送信し、それを職員が開封した・しなかったのログを取る。しかし、自治体ではネットワークの三層分離や無害化によって訓練メール自体がはじかれることもあり、この手法は十分とはいえないという。

そこで、専用サーバーを使用し、職員の行動訓練にまで対応した拡張版の「gINCX（ジーインクス）」が用意されている。クラウド型との違いは、庁内に小さな専用サーバーを設置し、担当職員がいつでも何度でも訓練メールを送信できること。また、全員が“訓練メールを開く”ことを前提とした、いわゆる防災訓練のようなこともできるのが大きなポイントだ。訓練時には事前通知が送られ、職員はメールの開封後、直ちにLAN接続を切断、所轄部署に報告という行動をとる。システムは訓練メールの開封やLANケーブルの抜線などを記録し、未開封の人に対しては対応を促すリマインダーを送り、最後まで追跡する。ここまで徹底する必要性について「メールの開封確認だけの場合、開封しなければ良しとされていますが、それでは、いざ開けてしまったときの対応は身につかないままなのです」と指摘する。「侵入されることを前提に、職員が即行動できる教育が必要。最後のセキュリティは、やはり“人”だからです」。

巧妙化するサイバー攻撃には職員の危機意識と行動で対抗を。

現在、同社のサービスは、金融機関をはじめとする大手企業や自治体で導入されており、ある組織では、対象部署を変えながら毎月訓練を実施しているそうだ。「訓練は緊張感を伴わなければ、形骸化してしまいます。年に１回のイベント的な訓練では、真の効果はありません」。攻撃に気づいた際に求められるのは“迅速な行動”だ。防災訓練と同様に、標的型攻撃メールに対しても訓練を繰り返すことで、何をすべきかが身につき、被害を最小限に抑えることができるという。「包括的にサポートするため、そうした対策のノウハウを学ぶ動画講習や勉強会（右欄参照）も用意しています。時代に合わせた最新情報を知ることや、危機意識を高めることが重要です」と力を込める。

環境設備だけに頼らない、実践的な人の対策を重視する同社のソリューション。メールに限らず巧妙化が進むサイバー攻撃から地域の大切な情報を守るには、“職員一人ひとりが最後のとりで”だということを自覚する必要があるだろう。

ゲイトウェイ・コンピュータ
ソリューション推進部
鴫原 倫文（しぎはら ともふみ）さん

怪しいメールを開いてしまったときの行動を身につける訓練ソリューション。

標的型攻撃メールに対する危険な誤解

誤解：不審なメールは見れば分かる

過去の標的型攻撃メールは文章に不審な点があった。現在は巧みな文面で違和感がなく、アドレスも偽装されており見破るのは難しい。

誤解：ウイルス対策ソフトで駆除できる

標的型攻撃メールに仕込まれるウイルスは対策ソフトが検知しない新種。日々続々と生まれており、従来の仕組みでは防ぐことが困難。

誤解：ネットワークが分離されているので安心

感染に気づいていないPCから、USBメモリなどによるデータ移動の際に入り込み、別のPCに接続した時点で感染を広げることも。

多くの組織で支持されるgINCXの強み

1.オンプレ型でいつ、何度でも訓練可能

サーバーを庁内に設置するので、職員が自分で実施のタイミングや回数を設定可能。訓練の上限設定もないため、定期的な実施と抜き打ち式を組み合わせて、独自の訓練プログラムを組むことができる。

2.攻撃を受けた後の行動訓練ができる

非常時に求められるのは、現場の迅速な行動。現在推奨されているのは即時の“ネットワーク切断”と“所轄部署への報告”を行うこと。システムでLAN切断を認知するので、対応の徹底を確認できる。

3.動画講習や勉強会のオプションも！

「セキュリティプロフェッショナル認定資格」を持つ講師が行う講習の動画配信サービスを提供しており、こちらはgINCXのユーザーでなくても受講可能。訓練後の勉強会もオプションで用意されている。

トライアル用のデモ機を無料貸出中！

一度試してみたいという自治体の方々のために、デモ機の無料トライアルを実施しています。訓練の流れを実際に行うことで、効果を体感することが可能です。トライアル期間はご要望に応じて相談可能ですので、まずはお問い合わせください。

1. TOP
2. 情報セキュリティ対策の反復訓練で、サイバー攻撃に強い組織をつくる。