送り主は攻撃者ではなかった
そこで健保連に、編集部から問い合わせてもらいました。「注意喚起で紹介されたメールは、ある企業から通報されたものでした。健保連では、すぐに各企業の健保に注意を呼び掛けました。ただメールの本文などに違和感があったので、通報者に後日問い合わせると、その企業で実施した標的型攻撃訓練のメールだと判明しました」(健保連の広報担当者)。
注意喚起の元になったメールは、「不審なメール」ではなく、企業や団体が実施する標的型攻撃訓練で使う「訓練メール」だったのです(図3)。
実は、注意喚起を見たときから筆者もそうでないかと予想していました。訓練メールには、実際の標的型攻撃メールに使われた文面がよく使われると聞いていたからです。標的型攻撃訓練は年度末近くに多くなると聞いたことがあります。恐らく予算を消化するためでしょう。
健保連の対応は満点
ここまでの話を聞くと、通報者と健保連はなんと人騒がせな、と思う人もいるでしょう。しかしセキュリティ専門家として、通報者と健保連の対応は、称えるべきだと思っています。
前述のように、健保をかたる標的型攻撃メールが出回り、実害が出ています。その教訓を生かして、今回はいち早く注意喚起を出したのでしょう。結果的には“誤報”でしたが、迅速な対応でした。通報者と健保連のセキュリティ担当者はともに素晴らしいと思います。
今回の事件は、連絡の不徹底が原因だったと考えられます。健保連の広報担当者もこの訓練に対して、「周知不足だったと思います」と話していました。実在しない「健康保険組合連合協会」という名前で訓練していても、名前が似ている健保連に通報される可能性があったので、事前に連絡しておくべきだったでしょう。
実施前に周囲へ連絡すべき
訓練メールでトラブルを防ぐためには、実施前に従業員に通知し、外部へ連絡しないよう注意しておくことが重要です。また、訓練メールで似た名前などを使っている企業や団体には、事前に連絡しておきます(図4)。
このように説明すると、「それでは抜き打ちにならないので、訓練にならないのではないか」という声が聞こえてきそうです。企業から依頼を受けて訓練メールを送ったり、訓練を実施するためのキットを販売したりする事業者の中には、「不審なメールの開封率」を重要視するところがあります。事前に通知したら、本当の開封率を調べられません。
しかし筆者は、メールの開封率にさほど重要な意味はないと思っています。機密情報や個人情報にアクセスできない一般の従業員がメールを開いた場合と、サーバーの管理者権限を持つ人が開いた場合でも、同じ1件に数えるのでしょうか。影響度の大きさで重み付けするのでしょうか。
