標的型攻撃メール:政府機関の開封率10%--教育で3%に減少、思わぬ課題も見つかる

田中好伸 (編集部) 2012年01月20日 18時58分

  • このエントリーをはてなブックマークに追加

 内閣官房情報セキュリティセンター(NISC)は1月19日、政府機関でのセキュリティ対策の取組状況を発表した。発表されたのは、標的型攻撃メール訓練とウェブサーバの脆弱性検査(どちらも中間報告)、送信ドメイン認証技術の3つ。

 標的型攻撃メールの訓練は、内閣官房など12の政府機関、約6万人に対して展開されている。訓練の内容は、まず事前に教育したのちに対象者に標的型攻撃を真似たメールを2回送付している。摸擬メールの添付ファイルを開封したり、URLをクリックしたりなど不適切な行動をしていないかどうかを調べている。不適切な行動をした場合には、教育コンテンツに誘導されるという仕組みを取っている。

 この結果として、1回目のファイルを添付したメールを開封したのは、10.1%。2回目に送ったメールのURLをクリックしたのは3.1%となっている。2回目の結果が良くなっているのは、攻撃メールに対するセキュリティ意識が向上したためだ。だが、NISCでは、この効果は一時的なものであり、時間経過とともに意識レベルは低下するものと想定されることから、今後も訓練を継続していくことが重要と説明している。

 この訓練からは思わぬ課題が明らかになった。ひとつは、不審メールの送信元に対して、メールを返信して差出人を確認するケース。もうひとつは、メールの自動返信機能を設定することで、攻撃者に対して、不在通知が自動発信されたケースだ。

 この2つのケースでは、組織で使用している有効なアドレスを攻撃者に通知してしまうことになり、攻撃者に次の攻撃に資する組織内の情報を提供することになる。そのため、これらの事態についても対策が必要になる。その対策としては、差出人の確認については電話などで行うこと、自動返信の範囲を組織内に限定すること――などが考えられるとしている。

 ウェブサーバの脆弱性検査は、政府機関で検査を希望した11省庁を対象にした。ネット経由でアクセスして、ツールと手動で検査している。実際に検出された脆弱性のうち危険度の高いものは14件、このうち8件がSQLインジェクションという結果だった。検出された脆弱性のうち緊急性の高いものについては、当該の府省庁に速報を出し、対策を実施している。検査結果については今後、全府省庁に情報を提供して、政府機関全体の情報セキュリティ対策の向上を活用していく。

 送信ドメイン認証については、メールの送信元についてなりすましを防止するための対策の一環としてDNSサーバにSPFレコードを記録するというもの。本省や外局、地方支分部局、独立行政法人などで送信側SPFの導入を進めてきている。

 府省庁ドメインについては2010年7月時点で送信側SPFの設定を完了している。外局などを含むDNSサーバのSPF設定状況では、2011年7月末で37.4%、2011年10月13日時点で63.2%、2012年1月16日時点で85.1%と、導入が進んでいることが分かる。

 送信ドメイン認証関連では、利用していないgo.jpドメインを廃止、メールを送信しないgo.jpドメインは、メールを送信しない旨をSPFレコードに記述している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]