政府の「標的型不審メール攻撃」訓練、1割が感染するという結果に 48
ストーリー by hylom
訓練で良かったですね 部門より
訓練で良かったですね 部門より
masakun 曰く、
昨年秋の「政府、職員向けにサイバー攻撃に対する訓練」というストーリーを覚えておられるだろうか。
その後伝えられるところによると、12の政府機関の6万人の職員を対象に、10~12月にかけて2度、訓練用の不審メールを無作為に送付したところ、その10.1%が初回の添付ファイルを開封して訓練用マルウェアに感染、さらに3.1%が2回目のリンクメールをクリックするという結果になったそうだ。職員の2割超が開封した機関もあったという(毎日.jpの記事、内閣官房情報セキュリティセンター報道発表資料)。
さらに今後の課題として、不審メールを開封するにとどまらず、「①不審メールの送信元に対しメールを返信する方法で差出人の確認をしているケース」や「②メールの自動返信機能を設定することで、攻撃者に対し、不在通知が自動発信されたケース」が発生。攻撃者に政府組織内で使用しているメールアドレスを通知した可能性が憂慮されている……というか実際に多くの政府省庁が攻撃にさらされている昨今、模擬訓練と対策は遅きに失した感があるのですがいかがでしょうか。
個々のリテラシーに頼るのは無理があります。 (スコア:4, 興味深い)
標的型攻撃への完全防御は無理ゲーですよ。普通の人は善意を信じて生きているんですから。
これを機会に、smtpベースのインターネットメールなんて廃止してしまえばいいんですよ。インターネット草創期じゃあるまいし、仕事用のメッセージ交換システムを無理にインターネットに接続する必要なんてもう無いですよ。文章交換が必要な相手には証明書付きの端末を支給すればいい。一般向けの窓口はそれこそ交換手がメールの真贋を判断して必要な担当者に配布するとか。
Re:個々のリテラシーに頼るのは無理があります。 (スコア:3)
> 一割しか引っかからなかったのは、評価したいですけど標的型攻撃への完全防御は無理ゲーですよ。
私も「一割か。意外と優秀じゃない?」と思った。
(それはそれで政府機関に失望しすぎ?という気もするけれど)
実際のプログラムがどの程度まで内部を分かっている人間が仕掛けてきた想定でやってるかで「一割が優秀かどうか」っていうところも感じ方がだいぶ変わるとは思うけれど。
訓練である以上、本当に内部の人がやっているわけで、その人達が知っている情報を駆使して可能な限り悪辣に仕掛けてたら引っかからない人が一割居るか?位になりそうだし。
.
SMTPを捨ててしまえ!っていうのは気持ちはすごい分かるけれど、政府機関(特に日本の)にどうにか出来るものじゃないよなぁ・・・ とも思う。
リンク先のPDFを読むと、go.jpのドメインのSPF設定をし始めているっぽい。
コストバランスの取れる範囲ではシステム的な対策もすすめてるね、と一応思った。
Re: (スコア:0)
「個人情報漏えい防止の為、ccではなくbccを使いましょう。」
なんて掛け声だけで、利用者の注意力だけで何とか対処しようとしている姿勢もなー。
そこまで言うならcc欄のないメールクライアント、
せめてcc欄を閉じることのできるメールクライアントにして欲しいものだけど、
そういう気配はないんだよね。
いつものように大事故が起きるまでは何もしないパターン。
まあ、実害が起きないと予算が着かない、という事情も判るけどさ。
Re: (スコア:0)
送信元のGMailアドレスで検索すると、論文の著者にもなっていて、まぁ送信先メアドのタイプミスなんでしょうが、
万が一にもフィッシングや標的型攻撃や間違いに見せかけたスパム送信先収集かもしれないと思うと、無視してしまいます。
善意につけこむ攻撃や詐欺がある以上、善意は捨てざるを得ません。
被害者もグルの詐欺かもしれないから、暴力を無視する。
物を売りつけられるかもしれないから、困っているように見える人を無視する。
詐欺かもしれないからひき逃げされた子供を見捨てる。
(中国の事件ですが、実際に中国では事故のフリをして、助けた第三者から高額な医療費をとる詐欺があるそうです)。
攻撃かもしれないから間違いメールを無視する。
現実社会でも、ネット社会でも、こうやって善意は死んでいくんだなと感じました。
Re:個々のリテラシーに頼るのは無理があります。 (スコア:1)
>現実社会でも、ネット社会でも、こうやって善意は死んでいくんだなと感じました。
同様の懸念というか残念感があるのは踏まえた上で、
本来はそういうのって「よく会話等をする顔見知り」がほとんどで「他人」にそういう思いを向けるのはごく限られた機会だったから成り立ったんだと思うんですよ。
それが「よく知ってる人」と「全然知らない人」の間にたくさん人数が居ることで上手く回らなくなってる。
被害者なり困ってる人なりひき逃げされた子供なりが顔見知り、もしくはその縁者だと分かってたら手をさしのべやすいはず。
そしてだからこそ、人となりを深く知ることをあえて避ける傾向のある[要出展]ネット社会では、善意を装って手を伸ばして来る者こそ信用できないわけで。
契約なり利害関係なり何か確実に関係性を測れる繋がりを持たない、「善意」を期待した関係って奴を築けないのは無理もないことと思います。
Re: (スコア:0)
そうだ! FAXを使えば良いんだ!
# 本当にこういう会社がまだあるから困る
Re:個々のリテラシーに頼るのは無理があります。 (スコア:1)
今は無き以前務めていた工場の上司たちがそう言ってました。
幹部社員以外のメールアカウントの外部発信資格を取り消して。
社外とのやり取りはFAXと電話だけにしろとのこと。
Re:個々のリテラシーに頼るのは無理があります。 (スコア:1)
主目的の書類はメール添付ファイルを送っても、関連する機密・機微情報だけは事前に送付を電話で連絡後FAX送信、事後に電話で送信済確認するくらいの職場はあるでしょう(そういうところに7年前居たが今に至るまでルールが変わる理由が見出せない)。
また、会社ではないですが防衛省とかいろいろ厄介な部署であれば外部からFAX送信を考えなしにしてしまうと怒られることがあるとも思うのです。緊急連絡がとれなくなって作戦行動ができないとかいろいろ理由があるでしょうが。こっちもルールが変わったということもなさそう。
営業部で依頼された見積書送ったらすぐ後で防衛庁のどこぞの部署に怒られたというのを間近で見たことがある。
Re: (スコア:0)
SMTP廃止の実現性は兎も角、一理ある意見だと思います。
今回は約1割が「感染」したとのことですが、
ではこれが1%だったら問題ないでしょうか?
0.1%だったら、いや、1人だったら問題ない?
もし1人でも感染者がいたら、そこから社内情報は漏れるでしょう。
1割の場合と比べ被害は少ないはずですが、なくなりません。
ITリテラシの啓蒙は必要でしょうが、そもそも「SPAM・ウィルスメールが届かない」
「感染PCが社外に情報を送信できない」という状況を作らなければ、
被害をなくすことはできません。
もちろんゲートウェイでの対策も行っている上でのこの訓練なのでしょうが、
「ITリテラシの低さだけが問題」というミスリードになっている気がします。
# 正直ユーザレベルでのセキュリティ対策は、もう時代遅れだと思う……。
Re: (スコア:0)
これが無理。
今日は成立していても、明日は崩れてるかもしれない。
セキュリティの強度は最も脆弱な鎖の輪の強度と同じ。
つまり人間を強化しないとセキュリティ強度は上がらない。
遅いが無駄ではない (スコア:2, すばらしい洞察)
お粗末な現状を客観的に把握できたのは立派な成果。
中韓に劣る国民性を発揮して仲間内の誹謗中傷に明け暮れ何一つ改善しなければ無駄ともなろうが。
Re: (スコア:0)
そうだね。
これを受けてどう教育していくかが大切だよね。
ペナルティだけでは改善しない。
Re: (スコア:0)
いや、事前に送られてくることは通告してあったんだし、
怪しいと思って二回も開く自称パソコンに詳しいバカ上司とかは、
もう懲戒処分でいいよ。
あるいはPCに触るのを禁止するとか。
なにが「怪しいと思ったんだよなーーwww」だよ。
緊張感のかけらもないんだからな。(怒
Re: (スコア:0)
お宅のバカ上司をどうしようも出来ないように、
公務員だってそんなに簡単に処分できないのよ。
気持ちは分かるけどさ。
Re: (スコア:0)
その通り、このまま質の良い訓練続けて「また訓練メールだよ」と思ったら本物でした。みたいな成果が出るといいね
# そんなことになったら開けてもないのに始末書書かせられるのがこの国だったりするわけですが。
Re: (スコア:0)
始末書で済むサラリーマンはいいなぁ。
Re:遅いが無駄ではない (スコア:1)
始末書で済むサラリーマンはいいなぁ。
済むのかねぇ
Winnyでの情報流出騒ぎとその顛末を聞く限り、
会社に損害があれば、それが同情を引くほど巧妙だったとしても
そんなものじゃ済まないと思うけどね。
Re: (スコア:0)
Re: (スコア:0)
ほんと。
弊社だったらグループ全体で4割は開いてるな。
むしろ1割しか開かなかったんだと感心するよ。
Re: (スコア:0)
>「中韓に劣る国民性」
それがあんたのコンプレックスなのか
タイミングを合わせて (スコア:2)
Re:タイミングを合わせて (スコア:1)
本物には、「これは訓練ではない」とサブジェクトなどに入れておけば良いでしょう。
Re:タイミングを合わせて (スコア:1)
>本物には、「これは訓練ではない」とサブジェクトなどに入れておけば良いでしょう。
「絶対開けるなよ!」とどっちが有効だろう。
#何をもって怪しい添付ファイルと判断できるかが問題っぽい。
Re: (スコア:0)
それでも、同じ事を繰り返すのでしょう。官僚は失敗を認めないという特性を保有する集団なので。
いや、前例があればやってよしと判断する集団なのかも。
Re: (スコア:0)
haratake (365)さん、渾身のボケに突っ込んでもらえない今の心境を
Re:タイミングを合わせて (スコア:1)
なれてますので、探さないでください。
MUAを簡単便利にしすぎたのがいけないんです (スコア:1)
クリックするだけで添付ファイルを開けたり、ハイパーリンクをWebブラウザに送信するようになっていれば、
判ってる人でもうっかりミスなどで操作してしまう可能性があります。
そんな便利すぎる機能はさっくり削除してしまうか、せめて適切な知識を持つ人しか有効に出来ないようにするべきでしょう。
まぁ、実際にはそんなことは出来ないでしょうから、MUAをしっかりしたSandboxのなかに閉じ込めるってあたりが現実的な回答になるんでしょうかね。
Re: (スコア:0)
添付ファイルをなるべく止めるようにする。
どうでもいいことをわざわざexelとかにされてると、
これに慣れて、反射的に添付ファイルクリック癖ついてしまう。
Re:MUAを簡単便利にしすぎたのがいけないんです (スコア:1)
>添付ファイルをなるべく止めるようにする。
>どうでもいいことをわざわざexelとかにされてると、
これってよくあります。
うちの場合特定の部署から来るメール本文には宛名と長々としたあいさつや前置きが書いてあって。
本文は何故か添付ファイルのEXCElになってる。
しかもその中にはまた宛名とあいさつが書いてあって、大したことのない本文(会議日程とか、打ち合わせ場所とか)が書いてあるだけ。
そんなもんメールの本文にあと3行足せば事足りるのに。
そこの部署ではそういうメールを書きなさいという内部規約でもあるんだろうけど。
メール連絡以外ではほとんど交流が無いのでなんでそうなっているのかがよくわからない。
やったらやったで (スコア:1)
やらなかったら何やってんだって
やったらやったで遅いってたたかれるし。
屍体メモ [windy.cx]
安全なメールソフト (スコア:0)
安全なメールソフトを作って配布すればいいのかいな。
ちなみに公開鍵をメールに送付して自動で返信は暗号化してほしいなあ。
Re:安全なメールソフト (スコア:1)
Subject: 【重要】安全なメールソフト配布のお知らせ
今すぐ添付ファイルをダブルクリックしてインストールしてください!
Re: (スコア:0)
そもそも危険な添付ファイルを削除するようにメールサーバーの設定すればいいんだって。
そこらの一般企業でもやっていることすらやらないことに呆れる。
ファイル交換は共有サーバー使うとか外部とのやり取りは直前に連絡するよう徹底するとか色々やりようはある。
末端が馬鹿の集まりでも添付ファイルは全削除、URLは開かないとかだけでも徹底させればいい。
こんな政府なら爆発物送っても当然のように開けてもらえそうだから反政府団体も楽な仕事だろうな。
Re: (スコア:0)
>そもそも危険な添付ファイルを削除するようにメールサーバーの設定すればいいんだって。
それが完全にできるならメールは安全でいいな。
で、それはどこのメールサーバーの話?
Re: (スコア:0)
誤:危険な添付ファイルを削除するように
正:添付ファイルは危険だから削除するように
Re:安全なメールソフト (スコア:1)
あと, サーバには負荷になるかもしれないけど, HTML形式の本文はテキスト形式にレンダリングしてMUAに渡すとか, さらにURLっぽい文字列は‘.’を空白に置き換えるとかすれば, かなり安全になるかも.
Re: (スコア:0)
で、サーバのパーサに穴があって……
ま、システム的に囲うとかで保護しやすい、と言うのはあるけれど。
セキュリティを怠る経営者が処罰される世の中にしなければ (スコア:0)
裁判所がノーガード戦法を公式に認めてしまっている現状ではどうしようもない
Windowsやめたら? (スコア:0)
どうせこの手のメール感染するマルウェアってWindowsの実行ファイルかマクロでしょ。
クライアントマシンでそんなものが無造作に動くほうがどうかしてると思う。
そういう実情を20年も見てて有効な対策をしないMSって会社もどうかしてる。
そしてそんなOSを使い続ける機関もどうかしてる。
規則や教育じゃダメだってもうわかってるんだから、
大手ベンダーがクリティカル用途のディストリ作らないかな。
MS OFFICE使えなくてもいいじゃん。情報が漏れるよりはるかにいい。
〜◍
Re:Windowsやめたら? (スコア:2)
比較的最近、三菱重工がくらった攻撃 [impress.co.jp]はPDFファイルがAdobe FlashとAdobe Readerの脆弱性を突くものでしたね。
Adobe方面はMacintosh版やUnix版にも平気で脆弱性あるし、困りますよね。最近のだとこれ [ipa.go.jp]とかにも。
Linuxなら非AdobeなPDFビューアを使うのが一般的で安全、なんでしょうか?
# Adobeのサイト、日本語版はReader 9.4.2 Japanese for Linux というのが最新に見えるんですけど、これはきっと危険なんですよね…
Re:Windowsやめたら? (スコア:1)
htgurad様の日記 [srad.jp]で知ったんですが、Firefox使いだったらpdf.js [mozilla.org]ちうadd-onがあるそうです。ただ今人柱絶賛募集中。64bitだったらこれっきゃないそうですし。。。
Re:Windowsやめたら? (スコア:1)
なるほどAdobeですか。
脆弱性を突いたら「任意のコードが実行できる」んだそうですが、
たかがビューアに変な機能をてんこ盛りするからそんな事になるわけですよね。
Foxitでもダメななのかぁ。
利便性と危険性を天秤にかけて、「不便だけどセキュアな環境」というのを
真面目に構築しないと、いつまで経っても情報は漏れ続けるのでしょうね。
〜◍
Re: (スコア:0)
心配ない。
Windowsではない別の「何か」がスタンダードになったら、また問題は発生する。
#もはや、プラットフォームの問題じゃないよ。
Re: (スコア:0)
また問題が発生するまではセキュアなんじゃない?
MSやAdobe製品を使い続けるよりもはるかに。
ガソリン車はエコじゃないし、電気自動車にしても完璧なエコじゃないから、
電気自動車の開発はやめてガソリン車を使い続けろって見識は、
ありうるけど賛同はしないな。
Re:Windowsやめたら? (スコア:2)
電気自動車にすればエコになる、って言うんだったら(マユにツバつけながらでも)聞ける話だけど、
電気自動車にすれば交通事故が無くなる(減る)って言われても、「そのリクツはおかしい」としか突っ込めない。。。
10%程度なら優秀じゃね? (スコア:0)
標的型メールで10%なら、かなり優秀なほうだと思う。
メールの内容次第ではあるけど、やろうと本気で思えばもっと高い確率で開かせることができるはず。
普段、自分は大丈夫だって思い込んでいる、ほら、ここスラドで読んで笑ってる君だって、標的にされたら開くと思うよ。
予想すると、使われた標的型メールの内容は、内容だけ見て怪しいとすぐにわかる物だったんじゃないかな。
そもそもこういう訓練って (スコア:0)
10%は優秀な気もしなくはないね。
でも、こういう訓練ってそこの割合をはかるものなのかな?
実際の攻撃のこと考えるとその割合に応じて被害が比例するわけでもないと思う。
メールを開く率を下げるってそんなに意味のあることじゃない気がする。
1%になったとしてもそのユーザの持っている権限や情報が多いと被害は大きくなるよね。
こういう訓練って起こりうる被害をあぶり出して対策とか見直しをすることに意味がある気がするんだよね。
masakunさん、難癖ありきのタレコミありがとうございます (スコア:0)
以前のストーリー [srad.jp]で「大した訓練ではないですね(キリッ [srad.jp]」て書いていた人のタレコミですもん、そりゃこういう流れになりますなぁ。