侵入にはメールを多用する

筆者が実施しているペネトレーションテストでは、企業が持つ機密情報を奪取するために「企業内ネットワークへの侵入」もしくは「その企業が利用するクラウドサービスへの侵入」のいずれかを目指します。まずはこれを達成しないと、どんな情報にもアクセスすることができません。そのための主な方法は下記のとおりです。

どちらの侵入対象にも共通して利用する手段が「メール」です。従業員宛てにメールを送りつけ、フィッシング詐欺と同様の手口を使ってマルウェアを実行させたり、IDとパスワードを奪取したりします。

なぜメールを利用するのか？

企業内ネットワークに侵入しようとした場合、攻撃者のいるインターネット側から企業内ネットワークに直接アクセスすることはできません。そのため、企業内のコンピュータ側から、インターネット上に攻撃者が設置した司令塔サーバー（C2サーバー）に接続して、その帰りの通信（コネクトバック通信）を使って遠隔操作を行う必要があります。それを実現するには、従業員のコンピュータにマルウェアを仕掛けなければなりません。従業員のコンピュータに直接マルウェアを届ける手段として、メールを利用するのです。

クラウドサービスに侵入しようとした場合、クラウドサービス側に悪用できる脆弱性がある、または特定の利用者のIDとパスワードを推測して破ることができる可能性は高くありません。よって、利用者である従業員をだまして、IDとパスワードを奪取する必要があります。従業員をだますために、対象のクラウドサービスそっくりに作ったフィッシングサイトのURLを記載したメールを送付するのです。

メールは個人に直接何かを送り届ける手段として最適

ペネトレーションテストだけではなく、サイバー空間における脅威の多くはメール経由で到達します。メールを利用した攻撃には下記があります。

• マルウェア配布
• ランサムウェア攻撃
• クラウドサービスなどのIDやパスワードの奪取
• フィッシング詐欺
• ビジネスメール詐欺（BEC）
• 個人情報や金融機関、クレジットカード情報の奪取
• スパムメール

メールは従業員のコンピュータ上で開かれることが多く、攻撃者が標的とする人物に直接何かを送り届ける手段として最適です。つまり、脅威のほとんどはメール経由で送られてくるため、メールを安全に扱うことができれば、サイバー空間の多くの脅威に対処できるのです。

メールを安全に扱うための方法

メールを安全に扱うためのセキュリティ対策としては、まず「標的型メール訓練」などの従業員教育が思い浮かぶと思います。しかし、従業員が悪意あるメールを確実に見分けて、正しく対処することだけに頼ったセキュリティ対策には限界があります。メール経由で行われる攻撃の正しい対策は上記のとおりです。

従業員だけではなく、システム管理者も正しいメールセキュリティに関する知識とスキルを身につけることで、企業全体のセキュリティリスクの軽減を図りましょう。

筆者は「メール安全利用検定」および「認定メール安全管理士」という資格教育も実施していますので、対策される際の参考にしてください。