サイバーセキュリティ意識向上月間 – 効果的なアドバイスでセキュリティの強化を

** 本記事は、For Cybersecurity Awareness Month, how about better cybersecurity advice? の翻訳です。最新の情報は英語記事をご覧ください。**

毎年この時期は、サイバーセキュリティ意識向上月間です。インターネット上の脅威に対するユーザーの意識を高め、インターネットをより安全で楽しく利用できる環境にすることを目指してさまざまな啓蒙活動が行われます。

ただ、毎年同じようなアドバイスが繰り返されており、新たな学びを得られないことが課題になっています。
公衆 Wi-Fi の危険性といったような周知の情報ではなく、できるだけインパクトのあるアドバイスでセキュリティの強化を促す必要があります。ユーザーが集中してアドバイスに耳を傾けるのはほんのわずかな時間だからです。

特に、サイバーセキュリティ意識向上トレーニングで頻繁に目にする、「攻撃の足がかりを与えてしまうため、メールの疑わしい添付ファイルやリンクをクリックしないようにしましょう」というアドバイスはそろそろ再考されるべきです。

アドバイス #1 「疑わしいリンクはクリックしない」

どれほどセキュリティ業界に精通していたとしても、このアドバイスに従って行動するのは至難の業です。なぜなら、もはやドメイン名を見ただけで偽メールであることがわかるような時代ではないからです。

たとえば、Microsoft Office 365 のユーザーが、Microsoft 社の多くのクラウドサービスを利用していると仮定します。
以下の図は、同ユーザーが 1 日に目にする可能性のあるドメインの一部を表しています。

図 1：このクラウドから、同社が承認していない URL を見つけるのは不可能です。なぜなら、すべてが承認済みの URL だからです (出典: Office 365 URLs and IP address ranges)。

同社が提供するドメインリストには、同社のツールとクラウドサービスを組み合わせて使用する際にユーザーが遭遇する可能性のある、少なくとも 159 のドメインとサブドメインが含まれています。クリックやファイアウォールの通過を許可するために、更新され続けるドメインとサブドメインの表をいちいち暗記するのは現実的ではありません。

アドバイス #2 「危険な添付ファイルは開かない」

このアドバイスを一般のユーザーが適用するのはさらに複雑になってきています。以前は、実行ファイル (.EXE)、スクリーンセーバー (.SCR)、コンポーネントオブジェクトモデル (.COM) などのファイルを開かないというアドバイスがされていました。近年では、上記に加えて Visual Basic スクリプト (.VBS) と JavaScript (.JS) も開かないようにアドバイスされています。

Microsoft 社の Outlook は幸いにもファイル拡張子を表示しますが、Windows Explorer ではデフォルトでは拡張子が非表示のままです。同社は、メールの添付ファイルをより安全にするために、ここ数カ月で新しい機能を導入しました。同機能により、添付ファイルがインターネットから送信された場合には、ユーザーが Microsoft Office ファイルのマクロを実行できないようになりました。インターネットからダウンロードされたファイルには「MOTW (Mark of the Web)」と呼ばれるタグが付けられます。しかし、攻撃者はさまざまなアーカイブやコンテナ形式を使用して、MOTW タグのない Office ファイルを作成し同機能を回避する方法を模索しているようです。

これらのファイルタイプの多くは、.CAB (キャビネットアーカイブ)、.ISO (ディスクイメージ)、.UDF (ディスクイメージ)、.IMG (ディスクイメージ)、.VHD (仮想ハードディスクイメージ) など、Windows 単体で開くことができるものです。 一般的なユーティリティである 7zip や WinRAR で展開可能な圧縮アーカイブ形式である、.LZH、.ARJ、.XZ、.ACE もターゲットとされています。

一般的に、ディスクに保存されたファイルの種類をユーザーが確認することはできないため、悪意のあるファイルを保持している可能性がある拡張子をユーザーに警告することは非常に困難です。もちろん、セキュリティ回避の方法を攻撃者が発見する度に、ファイルの悪用の方法と種類は常に変化そして進化します。

対策

上記のような攻撃に対して、より良い対策が不可欠です。まず、技術的対策は個々のユーザーではなく専門家に委ねるべきです。なぜなら、技術的側面を理解している専門家が管理したほうが効果が高い上に、散発的に実施されるトレーニングではなく包括的なポリシーによって実施できるからです。

疑わしいリンクは、ネットワークエッジとエンドコンピューターのセキュリティレイヤーでブロックされるべきです。業務が高度にモバイル化している場合は、使用するデバイスそのものにセキュリティ対策が実装されている必要があります。エンドポイント保護を適切に他のレイヤーと連携させることで、URL をエンドポイントでブロックできない場合でも、他のレイヤーでカバーできます。

ブロックするファイルの種類は、メールと Web のゲートウェイで一元管理される必要があります。セキュリティソリューションは、ファイル拡張子を安易に信用するのではなく、ファイルを解析してファイルタイプを正確に検証し、コンテナを再帰的に解析してその内容を検査できなければなりません。

また、WinRAR や 7zip などのビジネスにおいて不要なアプリケーションを制御することで、既知のアーカイブ形式へのアクセスをある程度緩和できます。JavaScript や Visual Basic スクリプトの実行を防ぐことも効果的です。また、自組織による署名のある PowerShell のみを実行するようにポリシーを設定すれば、さらにセキュリティが向上します。

もちろん、従業員にセキュリティの啓蒙も行いましょう。セキュリティに対する意識が高いほど、より健全な環境を実現できます。
不審なリンクや添付ファイルは避けるべきですが、必要以上の分析に時間を浪費するのを避けるためにも、ユーザーは技術的側面を把握することよりも、ソーシャルエンジニアリングのような側面に意識を向けるべきです。

Fまず、フィッシングについての基礎知識するのが重要です。ただやみくもに勉強するのではなく、攻撃者がユーザーに取らせようとしている行動を把握しましょう。攻撃者がユーザーを誘導する行動とは、パスワードの開示、文書の開封、情報提供などです。受信したメールに何か違和感を覚えたら、その直感はおそらく正しいでしょう。

理想的なのは、組織の従業員とセキュリティチームが既知の方法で連絡を取り合い、従業員が感じた違和感をセキュリティチームが簡単に把握できるようになっていることです。多くの組織では、電話、メール、組織内チャット (Slack 、Teams など) でセキュリティチームが対応できるようにしています。セキュリティ上の脅威に関する定期的な注意喚起のメールには、セキュリティチームの連絡先を必ず記載しましょう。アセットタグ番号をすべてのデバイスに貼るのと同じように、すべての携帯電話やノートパソコンにセキュリティチームの連絡先を記載したステッカーを貼っておくのも良いでしょう。

図 2：テクニカルサポートの電話番号が記載されたアセットタグ

メールの脅威に関する実例を示すことで、従業員の注意を効果的に喚起できます。特に、自組織のスタッフやリーダーに送られてきたメールであれば、なおさら効果的です。

身近に起こった攻撃を例にとることで、攻撃は他人事ではなく現実に起こり得る危機であると感じやすくなります。
近年、正規のリンクと悪質なリンクを見分けることはますます難しくなっています。ユーザーは、厳重にパスワードを管理したり多要素認証を積極的に導入したりする必要があります。また、攻撃者の最新の手口についても学ぶ必要があるでしょう。

今年のサイバーセキュリティ意識向上月間では、技術的な側面は専門家に任せて、現場レベルでのセキュリティ啓蒙に組織のリソースを投入しましょう。攻撃者の目的を、実例 (メール、SMS 、WhatsApp 、Discord 、Facebook Messenger) を参照しながら理解してください。自分の直感を信じ、なにかがおかしいと感じた場合は、IT セキュリティチームに連絡して確認することを徹底しましょう。