標的型攻撃メール対応訓練実施キット ニュースレター Day2

キットを使って標的型メール訓練を実施する上で必要となる機材その１　Webサーバ

標的型メール訓練を実施する上で必要となるのが、訓練メールに添付されたファイルを開く、また、訓練メール本文中のURLリンクをクリックしたのが具体的に誰か？を把握する仕組みです。

訓練メールを送ること自体は誰にでもできます。日頃送られてくる不審なメールを真似て、それっぽいメールを作って送ればいいだけですからね。

しかし、誰が 添付されたファイルを開いたのか、また、訓練メール本文中のURLリンクをクリックしたのか を把握するとなると、相応の仕組みが必要になります。そこで必要となるのが「Webサーバ」です。

標的型メール訓練において、 訓練メールに添付されたファイルを開いたのは誰か？また、訓練メール本文中のURLリンクをクリックしたのは誰か？についての情報を「開封者情報」と呼びます。

この「開封者情報」を取得するための仕組みについて解説します。

開封者情報を取得するための仕組み

WordやExcelを訓練メールに添付する模擬のマルウェアファイルとして使う場合、文書にマクロ（VBA）を組み込むと、ウィルス対策ソフトが検知してしまう、また、Microsoft Office自体がマクロが実行されることを警告するようになっていますので、ファイルを開いたかどうかをマクロによって判定する方法は、マクロの実行が保証されない以上、訓練に使うことができません。

※マクロを実行してしまうかどうかを確認する事が主目的となる訓練では、マクロを組み込んだファイルが使用されます。

このため、文書ファイルを模擬の訓練メールに添付する場合は、マクロなどのプログラムは使わずに、「Webビーコン」と呼ばれる、横１ドット×縦１ドットの画像リンクを文書中に埋め込み、文章自体は通常の業務文書もしくは、標的型攻撃の危険性などについて解説した教育用のコンテンツとします。

横１ドット×縦１ドットの画像リンクを文書中に埋め込む理由は、Wordなどのソフトウェア自体は、メールに添付されたファイルを開いたのが誰であるか？を第三者に通知する機能は持ち合わせていないためで、ファイルを開いたのが誰であるか？を第三者に通知する方法として、画像リンクを使います。

文書中に画像リンクを埋め込んでおくと、ファイルが開かれることによって、その画像リンクに記載されたリンク先（URL）の画像データが呼び出されるという動作が発生します。呼び出された先のサーバ側で、この画像データが呼び出されたことを記録することにより、ファイルが開かれたことがわかるということになります。

ちなみに、この「画像データが呼び出された」という記録は、文書中に埋め込まれた画像リンクが呼び出されたという記録、つまり、URLリクエストの記録となるため、サーバ側に記録されるのは、どのURLリクエストがあったか？というものになります。

このため、文章中に埋め込む画像リンクを全て同じURLとしてしまうと、文章が開かれることによって画像の呼び出しが行われたことはわかっても、誰がその呼び出しを行ったのか？が特定できません。

この課題を解決する方法は、メールに添付する文書に記載する画像リンクの設定を、全て違うリンクにするということです。

ある画像リンクは、たった一つの文書ファイルからしか呼び出しが行われないことが保証されれば、後は、その文書を誰が持っているのか？さえわかれば、その文書を開いているのはその人しかいない。ということになります。

つまり、模擬の訓練メールを送る相手ごとに、個別の画像リンクを埋め込んだ文書ファイルを添付して送れば、どの画像リンクが呼び出されたか？を確認することにより、誰が添付ファイルを開いたのか？がわかるということになります。

これが、WordやExcelなどの文書ファイルを模擬のマルウェアファイルとして使う場合における、開封者情報収集の仕組みとなります。

訓練実施で必要となるWebサーバ

訓練実施で必要となるWebサーバのスペックとしてはどのようなものが求められるのか？このようなお問い合わせを頂くことがたまにあります。

Webサーバというと、高価なサーバ設備を用意しないといけないのでは？と思われるかもしれませんが、標的型メール訓練を実施する上で専用のハードウェアをご用意頂く必要はありません。Windows7やWindows10など、今お使いの普通のパソコンが1台あれば、十分に訓練を実施することができます。

実際、2万人の従業員を対象とした訓練実施のケースでも、使用したのは、中古（ CeleronのCPU、搭載メモリ4MB ） のWindows7パソコン1台のみという実績があります。

もちろん、既にWebサーバをお持ちで、それらを使うことができるのであれば、そちらをご利用いただいても構いません。 Windowsパソコンをお使いになる場合は、IISというWebサーバソフトが標準で使えるようになっていますので、IISと、キットに付属のプログラムを組み合わせてお使い頂くのが、最も簡便です。

Windows OSに詳しい方であれば、Windows7などのクライアントOSでは同時接続数に制限があるのだから、Webサーバとして使うのは適切でない。と思われるかもしれません。確かに、サーバOSではないWindows7やWindows10では、ネットワークの同時接続数に制限が設けられていますが、標的型メール訓練を実施した際に、実際にURLリンクがクリックされるのは訓練実施対象者の10％前後くらいなので、例えば、1,000名が対象の訓練では、Webサーバにアクセスしてくるのは100名前後ということになります。

しかし、この数はある瞬間での同時アクセス数ではなく、訓練実施日当日中を通じてのアクセス数になりますので、瞬間での同時アクセス数ということになると、かなり少ない数になります。また、Windows7やWindows10に付属のIISにおいては、同時アクセス数を越えるアクセスについてはキューに溜めて順次処理を行うような仕組みになっていますので、1日100名程度のアクセスでは、同時接続数の制限がネックとなってしまうようなことはまずありません。 ゆえに、標的型メール訓練の用途で使う分には、Windows10のクライアントOSを利用したWebサーバでも十分なのです。

Webサーバの設置場所は？

ということで、Webサーバについては、社内にある中古のパソコンなどでもよいことがお分かりいただけたかと思います。では、Webサーバはどこに設置すればよいでしょうか？

というと、答えとしては、訓練の対象となる従業員からアクセスが可能な場所が、Webサーバを設置するべき場所ということなります。

全ての社員のパソコンが同じネットワーク内に繋がっている状況であれば、同じネットワーク内にWebサーバを設置すればよい。ということになりますが、例えば、

1. 事業所の拠点が複数あり、各拠点同士は同一のネットワークでは繋がっていない
2. 営業マンは外出先からインターネットに接続してメールを読んでおり、社内のネットワークにはアクセスできない

というように、社内に置いたWebサーバにはアクセスすることができないようなケースでは、対象者からアクセスが可能な場所、例えば、インターネット上にWebサーバを設置する、また、各拠点ごとにWebサーバを設置するといった工夫が必要になります。

しかし、全ての対象者のネットワーク環境に合わせてWebサーバを用意し、設置するのは難しい。という場合もあるかもしれません。そのような場合は、用意したWebサーバにアクセスができない環境にいる従業員については訓練実施対象から除外するといった割り切りも必要かと思います。

ちなみに、インターネット上にWebサーバを用意する場合は、Amazon AWSなどのクラウドサービスを一時的に利用する方法や、さくらインターネットなどが提供するレンタルサーバサービスを契約するといった方法があります。

クラウドサービスを一時的に利用するにしても、また、レンタルサーバサービスを契約するにしても、かかる費用は月額で数百円～数千円程度です。

以上、標的型メール訓練を実施する上で必要となるWebサーバについて解説してきましたが、個別のケースにおいては、以上の説明だけでは足りないこともあるかと思います。

そのような場合は、ask@kunrenkit.jp宛までお問い合わせ頂ければ、個別に回答をさせて頂きますので、お気軽にお問い合わせを頂ければと思います。

では、本日も良い一日をお過ごしください！