メール訓練を内製でやってみた

こんにちは、マクニカネットワークスのせじです。

4年程前に中途入社し、現在はセキュリティサービス開発や社内のセキュリティインシデント対応などを行うCSIRTのメンバーとして活動をしています。

今回の記事ではCSIRTの活動の一環で行ったフィッシングメール訓練について、マクニカらしさを感じたエピソードを交えながらお伝えしたいと思います。

■フィッシングメールとは
フィッシングメールといえばこの記事をご覧の皆様も一度は受信したことがあるのではないのでしょうか?メジャーなショッピングサイトやSNS等、運営会社からの連絡等を装ったメールを送り、利用者のIDやパスワードを盗み出すことを目的としたインターネット上の詐欺手法の一つです。認証情報が盗まれてしまうとその会員情報を利用して買い物をされたり、ポイントを盗まれたり、といった被害が想定されます。

%E3%83%A1%E3%83%BC%E3%83%AB%E8%A8%93%E7%B7%B4%E3%82%92%E5%86%85%E8%A3%BD%E3%81%A7%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%81%9F2.png
※筆者が受信した某有名ショッピグングサイトを騙るメールの例

%E3%83%A1%E3%83%BC%E3%83%AB%E8%A8%93%E7%B7%B4%E3%82%92%E5%86%85%E8%A3%BD%E3%81%A7%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%81%9F31.pngビジネスユーザーをターゲットにしたフィッシングメールは、メールサービス(O365やGmail)等のアカウント情報を狙いに来ます。盗み取ったアカウント情報を用いて攻撃者が正規メールサービスへ不正にログインし、メールの内容を盗み見た上で本人や外部の第三者になりすましてメールを送受信します。最終的には偽の振り込み先などを伝え金銭摂取を目的としているケースが多いです(いわゆるビジネスメール詐欺への悪用)。

最近のメールやフィッシングサイトは非常に巧妙に作られており、ある程度の知識を持った人であっても注意しないと見分けることが難しくなっています。攻撃者にとっても成功率が高く、旨味が多いためか非常に高い伸び率で攻撃がおこなわれ続けています。 

*最近の脅威事例等は「フィッシング対策協議会」にてよくまとめられています。
  https://www.antiphishing.jp/

■メール訓練のいきさつ
上記のような背景もあり、自社の従業員向けにメール訓練を行う企業は少なくないと思います。

通常であれば各セキュリティサービス企業が提供する有償のメール訓練サービスを利用するケースが多いと思いますが、今回弊社では自前でメール訓練を行うことなりました。

きっかけとしてはCSIRTの定例会で、セキュリティ系の情報共有(という名の雑談)を実施している中で、フィッシングの話題になった際に「メール訓練とかやりたいね」という声が上がり、やろうやろうとの勢いのままに始まった形となります。

この手の企画は、多くの会社では社内関係部署での慎重な議論や計画を踏まえた上で実施されるかと思いますが、マクニカの各種活動は今回の様に草の根的に始まるケースが多いです。翌日には私を含む有志のエンジニア3名でチームを組み準備を始めることなりました。

様々な営業活動を含めて、マクニカの活動のスピード感や柔軟性には未だに驚かされることが多いですが、過剰な根回しや各種手続きの必要もなく日々働きやすさを感じています。
%E3%81%82%E3%82%8A%E3%83%9E%E3%82%AF%EF%BC%92.png■メール訓練の準備
さて、メール訓練を実施することになりましたが特に過去の実績やナレッジがあるわけではなく、一からの検討~準備が必要です。この様な状況においてマクニカのエンジニアは強みを発揮します。

市場に認知されていない製品を海外から発掘~評価~拡販し、日本企業向けのガイド作成や製品サポート等を日々こなしているためか、技術的なキャッチアップ力や適応力が非常に高いエンジニアが多い印象です。

今回の訓練においては
・国内のVPS上にGophishと呼ばれるオープンソースのフィッシングフレームワークを導入
・偽サイト用ドメイン取得
・偽Webサイト構築
・偽メール設計
・クラウド上のSMTPサーバから訓練メールを配信
・メール受信者の挙動(メール開封やログイン履歴)をトラッキング
というようなスキームとしましたが、初の取り組みで技術的な課題がポコポコと出てくる中、各メンバーの得意分野を活かしながら迅速に解決することができました。%E3%83%A1%E3%83%BC%E3%83%AB%E8%A8%93%E7%B7%B4%E3%82%92%E5%86%85%E8%A3%BD%E3%81%A7%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%81%9F5.png業務の合間を縫いながらでしたが、訓練用システムの調査~評価~試験まで正味1ヶ月程で実施できたと思います。これは前述の様なキャッチアップ力という要素に加え、その他にも訓練に必要なサーバやドメイン等の各コンポーネントが迅速に調達できた点も大きかったと思います。

マクニカではエンジニアが検証等を行いやすい様に、非常に充実した検証環境が整えられています。

業務や検証で必要なモノの調達もわりと容易になっており、この点も競争力の要素になっていると感じます。エンジニア向けの検証環境の話はまた機会があれば本ブログで記事にしたいと考えています。

■今回の経験を通して
技術的な知見、日々のセキュリティ啓蒙やサービス開発に役立てられる学びやフィードバックを得ることができました。

技術商社という特性上、日々の業務においても未知の技術領域に触れる機会が多いですが、その過程において、周囲のメンバーや環境的なサポートを受けつつ新たな知識を身に付けている時はエンジニアとしての面白みをダイレクトに感じられます。

トップに戻る

関連記事

前へ

ご自宅ネットワークをお手軽に監視!

次へ

新人技術研修をリモートで実施してみた

Page Top