Ateam Tech Blog

エイチームのエンジニアたちによるテックブログ

エイチームグループ標的型攻撃メール訓練の裏側

こんにちは。エイチームIT統括部セキュリティ推進グループの杉本です。

エイチームグループでは2024年6月に社員のセキュリティ意識向上を目的とした標的型攻撃メール訓練を実施しました。
これまでも一部の組織では個別に訓練をおこなっていましたが、全社的なセキュリティ水準向上を目的として対象を拡大することになりました。

初めての取り組みで学びも多かったため、振り返りもかねて訓練の裏側で何を考えてどのようなことを行ったかを綴ってみます。 なお、この訓練はAteam-SOC(Security Operation Center)が作成した擬似攻撃メールをスタッフに送り、その様子を観測するという形で実施しました。

全体の流れ

初めての試みということで、明確な方針もないところからスタートです。
この時点ではグループ全社でセキュリティ教育を実施することだけが決まっていて、標的型攻撃メール訓練を実施することも決まっていませんでした。

とりあえず手を動かしてみないとわからない状況だったので、以下のように大まかにフェーズを分けて進めてみることにします。

  1. 企画フェーズ
  2. 準備フェーズ
  3. 実施フェーズ

企画フェーズ

方針の検討

セキュリティ教育を実施するにあたり、全社的に効果が期待できる教育手段は何か?を検討するところから開始しました。

最初に考えたことは、何がサイバー攻撃の標的になりやすいのか? という点です。 サイバー攻撃の対象を大雑把に 「外部公開資産」「個人」 に分類して考えました。

※本来は物理的セキュリティと論理的セキュリティの分類があって、論理的セキュリティをさらにシステム的セキュリティと管理的セキュリティ、教育が有効な人的セキュリティに分類するのが正だと思いますが、当時はこのような理解をしていました。

  • 外部公開資産

    • WebサーバやVPN機器などのインターネットから直接アクセスできる資産のことを言います。
    • ASMやCSPM, SSPMなどを導入することで問題点を可視化し、対策する領域です。
    • 設定の不備やセキュリティパッチの適用漏れがあると比較的容易に突破できてしまうため、常に攻撃にさらされている領域です。

  • 個人

    • 各人それぞれに個性があり、人によって情報感度も異なることから画一的なセキュリティ対策を行うことが難しい領域といえます。
    • 攻撃に成功すると社内ネットワークにアクセスする踏み台と重要資産へアクセスするための認証情報をまとめて取得できる可能性があるため、積極的に狙われている領域です。

「外部公開資産」はエンジニアによる対策が中心になりがちですが、 「個人」は一人ひとりのセキュリティに関する知識と意識のアップデートを行うことで改善が期待できます。 この点を踏まえて、教育による効果の高い「個人を対象にセキュリティの知識と意識のアップデートを図る」 という方針に決めました。

手段の検討

「個人を対象にセキュリティの知識と意識のアップデートを図る」にあたって、まずは「個人」を対象とした攻撃について考えていきます。 「個人」を対象とした代表的な攻撃として、以下のようなものがあります。

分類 攻撃の種類
フィッシング攻撃 フィッシング、スピアフィッシング、ホエーリングなど
ソーシャルエンジニアリング攻撃 ショルダーハッキング、スケアウェアなど
マルウェア攻撃 ランサムウェア、ウイルス、トロイの木馬、スパイウェアなど
ネットワーク攻撃 DDoS、MITM(マン・イン・ザ・ミドル)、Wi-Fiスニッフィングなど
パスワード攻撃 ブルートフォースアタック、辞書攻撃など

これらの攻撃の中でも観測頻度が高く、訓練によりセキュリティインシデントの発生抑止が見込まれるフィッシング攻撃、とりわけ特定の組織や個人を狙って仕掛けられる標的型攻撃メールにテーマを絞りました。 また、訓練はセキュリティ意識の啓蒙につながるものの、知識のアップデートは難しいと考えているため、訓練と並行してeラーニングの実施も検討することにしました。

目的の再整理

方針と手段が決まったため、今回の教育目的を再整理しました。

  • 目的
    • 標的型攻撃メールを模したメール送信訓練を行うことで、標的型攻撃メールの危険性をエイチームグループの全スタッフに知ってもらう。
    • eラーニングコンテンツにより、日々の何気ない行動に潜むセキュリティ上のリスクを従業員に知ってもらう。
      • eラーニングについても並行して準備を進めましたが、本記事の内容からは逸脱するので以降割愛します。
実施概要の検討

標的型攻撃メール訓練サービスについては、既に弊社グループの一部組織で利用実績のあった製品を使い検証を進めることになりました。 サービスのUIを見ながら いつ・だれに・どんな内容でメールを送るのかを考えるうちに、どういう効果を狙ってどんなシナリオを用いるのかといった訓練自体の設計を深掘りしないといけないことに気づきます。

とはいえ、IT統括部のスタッフに教育関連のノウハウはほとんどありません。 そこで社内教育などを通じて、既にノウハウを蓄積しているであろう人材開発部に協力をお願いすることにしました。

人材開発部の合流

人材開発部のメンバーの協力を取り付けたはいいものの、彼らは彼らで標的型攻撃メール訓練とは何かを知らないところからの参画です。 初回の打ち合わせで訓練実施の目的など、本記事の冒頭に記載した内容は共有したものの、実際に体験したほうが効果的なやり方をイメージできそうという話になり、実際に訓練の一連の流れを体験してもらうことにしました。

事前周知していたものの、人材開発部のメンバーからは「実際にこのメールが来たら開かざるを得ないので見極め方が分からないのは怖い」といった感想をいただきました。 訓練の必要性を理解してもらえたところで、訓練の全体像をつかめたところで実施内容を固めていきます。

実施概要の検討(再)

あらためて整理すると、訓練実施までに決めないといけないことは以下5点でした。

  • 対象者
  • 実施時期
  • 期待する効果
  • 訓練のシナリオ
  • メールの内容

まず、初めて実施する訓練ということもあり訓練未経験者が多かったたため、エイチームグループ全スタッフを対象者とすることが全会一致で決まりました。

次に実施時期です。当初2024年4月以降という前提があったため、24新卒にも効果的に訓練を行いたいというリクエストが追加されました。 入社間もない新卒メンバーはビジネスメールへの接点が少なく効果が薄いため、彼らが事業部配属される6月に実施することになりました。

期待する効果には、標的型攻撃メール訓練の目的である「標的型攻撃メールの危険性をエイチームグループの全スタッフに知ってもらう。」を分解して、「標的型攻撃メールという攻撃手法を認識してもらうこと」「標的型攻撃メールを体験することにより警戒感を醸成すること」という2点を置くことにしました。

次の訓練のシナリオが一番議論したポイントでした。
最初はスタッフの職能ごとにシナリオを変えてメールを出し分けるということを考えていました。 しかし、シナリオを増やす=メールテンプレートを増えすことにつながるため、現場の混乱や問い合わせ対応の煩雑さを考えるとシナリオを絞ったほうがいいという意見が出てシナリオを1つに絞ることになります。
「できるだけ多くのスタッフが標的型攻撃メールを体験する」にはできるだけ巧妙なメールを作る必要があるため、 社内事情に精通していて攻撃の動機を持つ、エイチームに対して悪意を持つ退職者 という架空の攻撃者を想定したシナリオとしました。

最後にメールの内容です。
これはやや後悔が残った部分ですが、計画時に挙がった「気付けるポイントをまったく作らないと訓練として難易度が高すぎるのでは?」という意見を受けて、メール文面にあえて以下のような見破りやすい穴を作りました。

  • 組織名を間違えている
  • 送信者が実在しないスタッフ名義になっている
  • VI(Visual Identity)ガイドラインを守っていない

シナリオで巧妙さを重視したのに矛盾があり、「できるだけ多くのスタッフが標的型攻撃メールを体験する」に完全に振り切れなかった点に反省が残ります。

これは余談ですが、「取引先などの実在企業を名乗ると攻撃の成功率が上がりそうだよね」という意見も出ていました。 確かに成功率は高まりますが、被訓練者から取引先へ連絡される可能性があり、エイチームグループ内で訓練をコントロールできない状況が発生する恐れがあります。 他社のCSIRTと連携することで将来的には実施できる可能性もありますが、現時点ではハードルが高く実現困難でした。

準備フェーズ

訓練に必要な情報もあらかた出そろったので、標的型攻撃メール訓練の準備を進めていきます。

準備フェーズでは以下の対応を行いました。

  • 対象者リストの取得
  • メールテンプレートの作成
  • 種明かしページの作成
  • ツールの設定
  • 問い合わせ先となる部署への事前共有

対象者リストは人材開発部へ依頼して作成してもらいましたが、あらかじめ運営チームに巻き込んでいたことで連携もスムーズだったと思います。
メールテンプレートも企画フェーズで大まかな内容を決めていたので、微調整を入れて完了しました。

メール内のURLをクリックすると表示される種明かしページにはベンダーが用意したテンプレートに少し手を入れたものを利用しました。
ベンダー製のテンプレートは警告感を出したい意図があってかいかにも怪しげなサイト感があり、びっくりしたユーザーが即閉じして内容が読まれず問い合わせを増やす結果となりました。 デザイナーにも運営に入ってもらって、しっかりと読んでもらえる種明かしページを作れたらとも思いますが、掛けられる工数や費用も限られるので現時点では妥協せざるを得ないポイントだと考えています。

あとはツールに対象者リスト・メールテンプレート・種明かしページを登録するだけで準備は万端!
ではなく、訓練を開始するとIT戦略G(いわゆる情報システム部門)への問い合わせが増えることが考えられたので、先行して事前共有を行います。 送られるメールの件名や本文と問い合わせが来た時の返信内容などを事前にすり合わせることで通常業務への影響を最小限に抑える工夫でした。

また、類似する問い合わせが増えた場合、通常のフローに沿ってIT統括部として社内ポータルで注意喚起を行う想定をしていましたが、通常のスピード感で注意喚起をするとメール内のURLがクリックされなくなる懸念もありました。

最終的に上記の懸念を考慮して、訓練として社員の行動を観察するための時間を設けて、擬似攻撃メール送信から5時間後に注意喚起の記事を出すことにしました。

実施フェーズ

いざ訓練を開始すると社内ポータルやSlack DMを通じて各所から多数の問い合わせがありました。

一部の組織では、不審なメールを確認するや否や注意喚起が始まり、組織内のエンジニアがメールの解析を行って訓練メールだと見破られてしまうというケースも見られました。 それ以外の報告者には種明かしをしたうえで、情報共有を控えてもらうようにお願いしていましたが、上述の組織については既に広域に注意喚起が行われていたのでネタバレ抑止の活動が取れませんでした。

「問い合わせているのに、社内ポータルに注意喚起などの情報が出ないのはIT戦略Gの対応が杜撰過ぎないか?」という意見も出ていましたが、予定通り最初の5時間は訓練中の社員の行動を観察する時間として見守り、5時間経過したあたりで注意喚起の記事を出しました。 これ以降は擬似攻撃メール内のURLもほとんどクリックされなくなり、3日目には完全に終息していました。

事後タスク

訓練期間を1週間で設定していたため、擬似攻撃メール送信から1週間後に集計を締めて、以下のような対応を行いました。

  • 事後アンケート
  • 分析
  • ネタバレ
    • 社内ポータルでの速報
    • 全体MTGでの解説
    • 社内ブログでの解説
  • 運営チーム振り返り

それぞれのフェーズでスタッフからのフィードバックをもらう場面はありましたが、肯定的な内容が多かったように思います。 特に「引っかからないと思っていたが訓練で引っかかってしまったので、解説にあったような注意点に気を付けたい」といった感想が多くあったため、啓蒙という観点では非常にうまく作用したという手ごたえを感じました。

おわりに

事後タスクでも触れましたが、訓練のフィードバックから標的型攻撃という脅威をエイチームグループのスタッフに認知してもらえた手ごたえを感じました。 一方で、情報セキュリティ訓練は繰り返し実施しないと効果を維持できないものだと理解しています。 幸い、こうした訓練や情報セキュリティ教育に対する理解のあるスタッフが多いので、これからも定期的に実施していきたいと思います。