内閣官房情報セキュリティセンター(NISC)は1月19日、政府機関でのセキュリティ対策の取組状況を発表した。発表されたのは、標的型攻撃メール訓練とウェブサーバの脆弱性検査(どちらも中間報告)、送信ドメイン認証技術の3つ。
標的型攻撃メールの訓練は、内閣官房など12の政府機関、約6万人に対して展開されている。訓練の内容は、まず事前に教育したのちに対象者に標的型攻撃を真似たメールを2回送付している。摸擬メールの添付ファイルを開封したり、URLをクリックしたりなど不適切な行動をしていないかどうかを調べている。不適切な行動をした場合には、教育コンテンツに誘導されるという仕組みを取っている。
この結果として、1回目のファイルを添付したメールを開封したのは、10.1%。2回目に送ったメールのURLをクリックしたのは3.1%となっている。2回目の結果が良くなっているのは、攻撃メールに対するセキュリティ意識が向上したためだ。だが、NISCでは、この効果は一時的なものであり、時間経過とともに意識レベルは低下するものと想定されることから、今後も訓練を継続していくことが重要と説明している。
この訓練からは思わぬ課題が明らかになった。ひとつは、不審メールの送信元に対して、メールを返信して差出人を確認するケース。もうひとつは、メールの自動返信機能を設定することで、攻撃者に対して、不在通知が自動発信されたケースだ。
この2つのケースでは、組織で使用している有効なアドレスを攻撃者に通知してしまうことになり、攻撃者に次の攻撃に資する組織内の情報を提供することになる。そのため、これらの事態についても対策が必要になる。その対策としては、差出人の確認については電話などで行うこと、自動返信の範囲を組織内に限定すること――などが考えられるとしている。
ウェブサーバの脆弱性検査は、政府機関で検査を希望した11省庁を対象にした。ネット経由でアクセスして、ツールと手動で検査している。実際に検出された脆弱性のうち危険度の高いものは14件、このうち8件がSQLインジェクションという結果だった。検出された脆弱性のうち緊急性の高いものについては、当該の府省庁に速報を出し、対策を実施している。検査結果については今後、全府省庁に情報を提供して、政府機関全体の情報セキュリティ対策の向上を活用していく。
送信ドメイン認証については、メールの送信元についてなりすましを防止するための対策の一環としてDNSサーバにSPFレコードを記録するというもの。本省や外局、地方支分部局、独立行政法人などで送信側SPFの導入を進めてきている。
府省庁ドメインについては2010年7月時点で送信側SPFの設定を完了している。外局などを含むDNSサーバのSPF設定状況では、2011年7月末で37.4%、2011年10月13日時点で63.2%、2012年1月16日時点で85.1%と、導入が進んでいることが分かる。
送信ドメイン認証関連では、利用していないgo.jpドメインを廃止、メールを送信しないgo.jpドメインは、メールを送信しない旨をSPFレコードに記述している。