標的型攻撃の“成功率”ってどのくらい？|セキュリティ|ブログ|Computerworld

読者の皆様

お待たせしました。
寒くて朝がツライ蔵本です。

写真はまたハワイシリーズでチーズバーガーです。
これもむちゃくちゃでかかったです……。

さて本日は、「標的型攻撃の成功率」という観点から標的型攻撃を見てみます。

標的型攻撃ではよく、業務に関係ありそうな電子メールを偽装したメールが使われます。内閣官房情報セキュリティセンター（NISC）が、昨年10月から12月の間に2回、政府機関を対象とした標的型メール攻撃の模擬訓練を行いました。

　これは訓練対象者（政府機関職員）に標的型攻撃メールを送りつけ、それを開封すると、自動的に訓練用Webサーバに接続されてしまう（つまり模擬攻撃が成功してしまう）というものですが、今回は次のような結果が出たとのことです。

●対象：政府12機関6万人弱
●開封率：1回目＝10％、2回目＝3％

これは攻撃側から見て「攻撃成功」と言える数字だと思います。

攻撃側は標的とする組織の全ユーザーに感染を広げる必要はなく、誰か1人（どれか1台の端末）を感染させるだけでOKですので、この数字で十分なのです。

システム的な対策をとっていても、このように人間の心理を突いた攻撃がベースになっている以上、完全に防御することは非常に難しいと言えます。

以前からお話していますが、私が「感染する前提で対策を考えることが重要」と言っている理由がお分かりいただけたのではないでしょうか。

人間系での判断が必要となるため、非常に不安定な要素となり、対策としては安定性に欠けます。
例えば、どんなにセキュリティに詳しい方でも、業務が非常に忙しいタイミングで紛らわしいメールが届いたら開いてしまう確率は高くなります。

したがって、最初の攻撃が成功してしまった後のことも考えて対策を実施する必要があるのです。

有効な手段の一つとして、さまざまな企業でプライオリティが上がっているのが「重要なデータの暗号化」です。たとえファイルが流出してしまったとしても、中身を読めないよう暗号化しておくことで、情報そのものの流出は防ぐことができます。

IPA（情報処理推進機構）が「出口対策」というソリューションを紹介していますが、こちらも「攻撃を受けて内部に侵入され、ファイルを取得されても、外に出せないようにする」というコンセプトです。

やられないようにするのはもちろん大事ですが、それに加えて、やられた後でも最低限、情報漏洩だけは避けられるような対策構造にしておくことで、強度を増すことができます。

それでは次回をお楽しみに！