(2011/04/21 更新)
セキュリティ企業の Trusteerが最近ブログで公表した調査結果が興味深い、というか非常に頭の痛い問題について取り上げている。

RSA and Epsilon: Research Shows Education Can’t Protect Against New Social Engineering Attacks

While many experts believe that social engineering attacks can be defeated using proper user education, our research has shown otherwise. We have found that a carefully crafted attack will fool most educated users.

最近世間を騒がせている事件(例えば RSAの件)では、社員を狙ってスピアフィッシング攻撃が行われる場合がある。それに対して、社員への教育が有効な対策として語られることがある。怪しいメールは開くな、安易にリンクをクリックするな、といった類のものだ。しかし、Trusteerの調査結果は、洗練された攻撃に対しては、このような教育をいくらやっても効果はないのではないか、という疑問を提示している。

以下、Trusteerの調査の詳細を見てみよう。Trusteerが注目したのは LinkedInや Facebookなどの SNSだ。その中から LinkedInをターゲットに選んだ。そして100人のユーザーに実験への協力をお願いした。彼らは社員だったり、家族だったり、友人だったり、いずれもこの種の攻撃に対する知識をある程度持っている人達だ。危険なことは何もないと断わったうえで協力を承諾してもらったが、いつどのような実験を行うかについては説明しなかった。

さて LinkedInでは、ユーザーの知人が新しい職に就くと、ユーザーにお知らせメールが送信される。Trusteerはここに目をつけた。もし知人が、ユーザーの所属する会社の競合相手先に転職したとしたら(そういう内容のメールがきたら)、ユーザーの興味を引くのではないだろうか、というわけだ。そこで、100人のユーザー自身とその知人に関する情報を調査したのち、LinkedInからのお知らせそっくりに偽装したメールを一斉にユーザーに送信した。この偽メールに反応してリンクをクリックすると、無害な Webサイトにアクセスするが、どのユーザーがクリックしたかわかる仕掛けにしておいた。

結果はどうだったか。

• メール送信から24時間以内に 41人がこのメールに反応してリンクをクリックした
• 48時間以内にさらに11人がクリックした
• 1週間以内にさらに16人がクリックし、合計68人がこの偽メールにまんまと引っかかった

ではクリックしなかった残りの32人はどうだったのだろうか。偽装を見破ったのだろうか。Trusteerが32人に確認した結果は次のとおりだった。

• 16人はそもそもメールを見ていなかった (おそらくスパム判定されたのだろう)
• 7人は LinkedInからのメールはいつも見ないと答えた
• 9人はメールは見たものの単に興味を引かなかったのでクリックしなかったと答えた

おわかりだろうか。つまり誰一人として偽装を見破った人はいなかったのである！
SNSの情報を悪用して社員に攻撃をしかけるというのは、標的型攻撃では別に珍しいものではない。そして今回の実験が示すように、このような攻撃に対しては、よく教育されていると思われる人達でも簡単に騙されてしまう。そして一人でも騙すことができれば、攻撃者にとっては十分なのである。(私も同じような攻撃を受けたら、見破れるという自信はない。)

ユーザー教育はやるだけ無駄とまでは言えないが、この種の攻撃に対しては効果的な対策とならないのである。したがって、ユーザー自身に防御を全て委ねるのではなく、技術的な仕組みで攻撃を防ぐこと、攻撃を受けたらすぐに検知できるようにすること、被害を最小限に抑えるための準備をすること、これらがより重要と言えるだろう。

さて一方、日本でも似たような調査を実施した結果が報告されている。JPCERT/CCの ITセキュリティ予防接種調査である。

ITセキュリティ予防接種調査

JPCERT/CC では「予防接種」という疑似標的型攻撃を組織に対して行う手法で社員等のセキュリティ意識を向上し、教育効果を引き上げるというアプローチに着目し、その効果を継続的に調査しています。

予防接種調査には Trusteerの調査と比べて異なる点がいくつかある。

1. 標的型攻撃と気づきやすいポイントをわざとメールにいれている (つまりそれほど高度な攻撃ではない)
2. メール配信前に標的型攻撃に関する事前教育を対象者に実施している
3. メール送信後に種明かしをし、間をおいて別の日に再度メールを送信している (改善率を調べるため)
4. 業種や規模の異なる 8社に対して調査を行っている

結果の詳細は報告書(PDF)を見ていただきたいが、簡単にまとめるとこんな感じだ。

1. 少ない企業では数%、多い企業では約半数近くのユーザーがメールの添付ファイルを開封した
2. 1回目と比べると、2回目の配信では統計的に有意に添付ファイルの開封率が低下した
3. 性別、年齢、職務などの属性は、開封率と相関はなかった

これらの結果から、予防接種(疑似標的型攻撃による訓練)を受けることによって、メールの添付ファイルの開封率、すなわち攻撃によって被害を受ける可能性を低下させることができると結論付けている。この結論自体はおそらく正しいのだろうと思う。こういった訓練によってリスクを低下させることはできるだろう。
しかしリスクは決してゼロになることはない。どれほどこうした訓練を繰り返したところで、引っかかってしまうユーザーは常に一定数存在する。ましてや、Trusteerが実施したようなより洗練された攻撃を受けた場合には、なおさらそうである。そして先程も述べたように、攻撃者にとっては誰か一人でも引っかかってくれれば、そこを足掛りにして攻撃を継続することができる。

したがって、リスクを低下させる効果があるからという理由で、ただ訓練や教育だけを繰り返していては当然ダメである。攻撃に引っかかってしまうユーザーを減らすことは大事だし、稚拙な攻撃に対してはある程度の効果が期待できる。しかしより高度な攻撃を受けた場合にはもちろん、どんな場合でも攻撃によって被害を受ける可能性は常にある。標的型攻撃に対する備えをするのであれば、攻撃を完全に防ぐことは決してできないという前提にたって、早期に検知する仕組みや、被害を最小限に防ぐための対策にも力を注ぐべきだろう。
(このあたりについては、APTに関する記事でまた触れるつもり。)

(2011/04/17 追記)
誤解されそうかなとあとで思ったのでちょっと補足しておきます。私は予防接種のような取り組みは必要だと考えています。*1 しかしそれは、実際に攻撃を受けたときにメールを開封してしまう確率を下げて、リスクを低下させる効果があるからではありません。コメントにも書いたのですが、予防接種を受けることによって、標的型攻撃に対する組織の耐性が明らかになることがより重要だと考えています。自組織の耐性が低いことを認識して、危機感を持つことができるからです。そしておそらく大半の組織では、想定以上に標的型攻撃への耐性は低いのではないかと推測しています。

(2011/04/19 追記)
今週の The Cyberjungle (Episode 209)に Trusteerの CEOである Mickey Boodaeiへのインタビューが収録されている。
http://datasecurityblog.wordpress.com/2011/04/17/april-18-2011-episode-209/

(2011/04/21 追記)
ちょうどピッタリ(?)の事例が海外で起きた。オークリッジ国立研究所(ORNL: Oak Ridge National Laboratory)が 4/7から攻撃を受けて 4/15-17の3日間インターネット接続を切断して対処したという事件。攻撃者はメールによるスピアフィッシング攻撃をしかけたようだ。記事によると、530人程の従業員がメールを受信し、57人が罠のリンクをクリックし、そのうち 2人が IEの 0day(現在はパッチがある)によってマルウェアに感染したとのこと。標的型攻撃への対応の難しさがあらわれている。*2

http://www.theregister.co.uk/2011/04/19/us_lab_security_breach/
http://blogs.knoxnews.com/munger/2011/04/cyber-attack-forces-ornl-to-sh.html
http://www.securitynewsdaily.com/-cyberattack-hits-oak-ridge-national-laboratory-0709/