Stressed businessman sitting in office with hand on forehead

縁マーケティング研究所 野々市恭徳です。

セキュリティに詳しい人は標的型メールに騙されたりしない。
そう思う人は多いと思います。

しかし、事実は小説よりも奇なり。という言葉もあるように、現実の世界では、にわかには信じられないようなことも時には起こり得ます。

先日、ある大手企業の標的型メール訓練に関わったのですが、その中で、日頃からインシデント対応などに関わり、セキュリティには詳しいはずの某部署の部長が訓練メールに騙されてしまうということがありました。

ちなみに、その部長が開いてしまった訓練メールって、どんなメールだったと思いますか?

それは・・・

HTML形式のメール

だったんです。

HTML形式のメールを使うと、ユーザーの目に見えるリンク文字列と、実際のリンク先を異なるものにすることができます。

HTML形式のメールの場合、リンク文字列にマウスカーソルを当てなければ実際のリンク先が見えないので、リンク先が怪しいものだったとしても、ぱっと見には気づきません。それ故に、セキュリティに詳しい人であったとしても、条件が重なってしまうことで、

つい、うっかり開いてしまった・・・

という事が起こり得ます。さて、件の部長が開いてしまったメールとは、具体的にどのようなものだったのでしょうか?また、HTML形式の訓練メールはどうやって作ればよいのでしょうか?

訓練メール本文中のURLリンクをHTML形式で表示したい。という方は、今回の記事は必見です。

こんな条件が揃っている時は要注意!

普段から怪しいメールには気を付けている人であっても、こんな条件が揃うと、「つい、うっかり」ということが起こりやすい状況が発生します。

コンプライアンス研修を実施されている企業であれば、「不正のトライアングル」といわれる3つの要素は目にされていると思います。標的型メールを開いてしまいやすい条件もこれによく似ていて、普通に見れば怪しいメールであっても、以下のような条件が揃っていると、つい、うっかり開いてしまいやすい。という状況が生まれます。

1.攻撃メールを開く理由となる「きっかけ」
2.攻撃メールを開く「機会」
3.攻撃メールを開くことが「正当化」されてしまう理由

実際に被害に遭ったケースでよく聞くのが、以下のようなケースです。

1.そういうメールが送られてくる予定があった。
  例:海外から英語のメールが送られてくる予定があった。など

2.1.の条件が満たされている時に、標的型メールが送られてきた。

3.1.のメールが送られてきたらすぐに対応しなければならないという意識があった。

実際、攻撃メールを開いてしまった事例として、

1.つい先日、駐車違反をしてしまった。
2.たまたま、駐車違反に関するお知らせと題した攻撃メールが届いた。
3.1.の事があったので、すぐに開いて確認しなければならないと思ってしまった。

という事例がありました。件の部長も、普段なら攻撃メールに引っかかったりなどしないのに、送られてきたメールにたまたま心当たりがあり、業務が多忙な中にあっても、すぐに対応しなければならないという意識があったという条件が重なり、更に、HTML形式のメールによって、実際のリンク先がぱっと見にはわからない形になっていたということもあって、送られてきたメールの中身をたいして確認もせずに、つい、うっかり開いてしまった。というわけです。

他にも、窓口業務を行っている部署の例として、

1.届いたメールには全て目を通すよう指示されていた。
2.代表アドレス宛に攻撃メールが送られてきた。
3.ウィルスは全て社内システムで防御されると思っていたので、何も気にせずに添付ファイルを開いてしまった。

といった例なんかもあります。こうした例から言える事は、セキュリティに詳しいから標的型メールなんて開いたりしない。というのは思い込みに過ぎず、条件さえ揃えば、つい、うっかり開いてしまう。ということは、誰にでも起こりうることだ。ということです。

HTML形式の訓練メールを送るには?

標的型攻撃メール対応訓練実施キットでは、「訓練メール一括送付ツール」を用いることで、HTML形式の訓練メールを送ることができます。

メールの送信形式を「HTML形式」に設定し、メール本文をHTMLで記述すれば、それでHTML形式の訓練メールを送付することができます。

とはいえ、自分でHTMLを書いてWebサイトを作成したことのある人でなければ、HTMLでメール本文を作ればいい。なんて言われても、どうやって作ればいいか?なんてさっぱりわかりませんよね。

そんな時は簡易な方法として、Microsoft Wordでメール本文を作成し、HTML形式で文書を保存したものをメモ帳などのテキストエディタで開き、その内容を「訓練メール一括送付ツール」 のメール本文欄に貼り付けるという方法があります。Wordが出力するHTMLデータは。HTMLを使いこなしている人から見ると余計なコードが多く含まれていて、綺麗とは言えませんが、訓練メールを送るという用途としては、そこそこ使える方法です。

例えば、以下のように、Wordで文書を作成し、リンクを設定したい文言の部分選択して、ハイパーリンクを設定します。この際、リンク先は半角文字で「%URL1%」と設定します。

これを「Webページ(フィルター後)」の形式で保存し、保存したファイルをメモ帳で開き、全文をコピーして、訓練メール一括送付ツールのメール本文欄に貼り付けます。

訓練メール一括送付ツールのメール本文欄に、Wordが出力したHTMLデータを貼り付けしたら、メール本文欄をクリックして、リンクを設定した文言の部分を探して下さい。

Word上ではリンク先を「%URL1%」と指定しても、Word内で「%」の部分がURLエンコードされて「%25」という文字列に置き換えられてしまうため、ツールのメール本文欄に貼り付けたHTMLデータ内では、Word上で設定した「%URL1%」のリンクは「%25URL1%25」となってしまいます。このため、
訓練メール一括送付ツールのメール本文欄 上で、「%25URL1%25」となっている部分を「%URL1%」に修正します。

あとは、訓練メール一括送付ツールの「送信先リスト」シートの「埋込用URL①」欄に、リンク先となるURL(例:http://hogehoge.co.jp/aptkit.aspx?u=0001)を記載すれば、訓練メール送信時に、メール本文内で「%URL1%」と記載した部分が「埋込用URL①」欄に 記載したURLに置き換えられてメールが送信されることになります。

なお、HTML形式のメールが使えるのは、メール受信環境がHTML形式のメールの表示をサポートしていて、メール受信時にHTML形式でメールを表示するよう、メール受信環境が設定されている場合に限られます。

メール受信環境がHTML形式のメールの表示をサポートしていなかったり、セキュリティ対策としてHTML形式での表示は行わないよう設定されている場合は、HTML形式でメールが表示される代わりに、テキスト形式でメールの内容が表示されることになります。

HTML形式のメールを使った訓練の実施を計画される場合は、こうしたことも考慮の上で、計画を立てるようにして頂ければと思います。