「なんかアレ」ってタイトルはどうかと思うのです(挨拶)。好きな生活態度が「韜晦」なもんで、直接的な表現は避けてみた。
TLにもいくつか流れてきたが、全部追うのは面倒なのでTogetterでまとめられているものを代表例として、いくつか挙げていきたい。当然、Togeられているものには、正しい指摘もある。例えば、
年金機構の件、メールを開いた担当者が責められていますが、余り責めないであげてほしい。あのメールはおそらく高度標的型メールと推測され、事前調査を徹底的に行った上で出されたと思われる、実はかなり廃レベルな攻撃で、通常の注意力ではどうにもなりません。(続く)
— ざ_な_く&890PorT (@z_n_c_890_P) 2015, 6月 1
(続き)私の推測では、年金機構にはメールサーバと端末の両方にアンチウイルスソフトと最新パターンファイルが入っていたと思われますが、おそらく引っかかっていないでしょう。最近の侵入用ソフトウェアはそういうものです。少し古くなると引っかかりますが(続く)
— ざ_な_く&890PorT (@z_n_c_890_P) 2015, 6月 1
今回の年金機構の件で「怪しい添付ファイル開くとかwww」みたいに言ってる人がいる以上、標的型攻撃は有効であり続けると思う。そういう人ほど絶対引っかかるから。(標的型メール攻撃がどんなものか知らないのにあなってるわけだからね)
— cocoon (@cocoonP) 2015, 6月 2
「普段やり取りしてる相手から来たメールで」「いつもと同じ感じの全く不自然ではない文章で」「一つ前のメールと内容に連続性があって」「別にexeなどの実行ファイルでもなく」「アンチウィルスソフトも反応しない」「必要な内容が含まれていると思われる」添付ファイルを開かないで仕事できる?
— cocoon (@cocoonP) 2015, 6月 2
といった一連のツイートなどは的確である。
しかし、目にすることが多いのは、こっち系ではないだろうか(まとめなので的確な指摘も含まれている)。
標的型メール攻撃の場合、引っ掛かりやすい人間と引っ掛かりにくい人間はいるが、絶対に引っ掛からない人間は、メールを全く開かない人間だけである。
オレの場合、メールアドレスはドメイン名を見て怪しいものは開かないし、もし本文を開いてしまってからでも怪しいと思ったらメールヘッダをチェックするし、添付はそもそもあまり開かないので引っ掛かりにくいタイプだが、それでも巧妙な標的型メール攻撃には引っ掛かる可能性はあると思う。それに本文開いてしまってから、怪しいと思ってメールヘッダなどを見ている時点で、やられている可能性も否めない。
以前の所属会社では抜き打ちで標的型メール攻撃の訓練があって、その時も送信者のドメイン名が不審だったので、開かずに迷惑メールホルダに放り込んでいて助かった。今だってこんな感じで未読だらけ。興味が無い、あるいは自分が主たる対応者じゃないメールは開かない。万単位の未読は我ながらいかがなものかと思うが。
未読を溜めたくないタイプのきちんとした人は、いくら標的型メール攻撃の対策教育を受けても、かなりの確率でメールは開いちゃうだろうな。添付までは開かないだろうけど。
ちょっと長くなった。もう一度簡単にまとめると、「標的型メール攻撃の場合、どんなに対策や教育を頑張っても、仕事にメールを使う以上引っ掛かる可能性を0にはできない」。
でも、標的になりやすい年金機構のような組織は、きちんと被害が出ないように対策しなければならない。つまり引っ掛かる可能性を前提に、被害が出ないようにするということ。
対策する側に立てば、まず外部との接触がある系(メールや外部のWeb参照)と、守るべきデータを扱う系は分離しておくこと。1台のPCで両方やりたいなら、一方あるいは双方を仮想PCにして相互にデータのやり取りやコピペなどができないようにするなど、実現方法はある。
もう一つは信頼性設計と同じように、地道に「フェイルセーフ」「フールプルーフ」を組み込んでいくしかない。それでも最初から隙なく漏れなくは難しい。そこで活用されるのがハインリッヒの法則である。
少し長いが引用する。太字はオレ。
法則名はこの法則を導き出したハーバート・ウィリアム・ハインリッヒ(Herbert William Heinrich)(1886年 - 1962年)に由来している。彼がアメリカの損害保険会社にて技術・調査部の副部長をしていた1929年11月19日に出版された論文が法則の初出である。
彼は、ある工場で発生した労働災害5000件余を統計学的に調べ、計算し、以下のような法則を導いた。「災害」について現れた数値は「1:29:300」であった。その内訳として、「重傷」以上の災害が1件あったら、その背後には、29件の「軽傷」を伴う災害が起こり、300件もの「ヒヤリ・ハット」した(危うく大惨事になる)傷害のない災害が起きていたことになる。
更に、幾千件もの「不安全行動」と「不安全状態」が存在しており、そのうち予防可能であるものは「労働災害全体の98%を占める」こと、「不安全行動は不安全状態の約9倍の頻度で出現している」ことを約75,000例の分析で明らかにしている(詳細はドミノ理論参照)。なお、ハインリッヒは「災害」を事故と事故を起こさせ得る可能性のある予想外で抑制されない事象と定義している。
全てを予見することは難しいが、「1:29:300」の300にあたるヒヤリ・ハットの段階で対策をすることで発生可能性は極小化できるというものである。
そして、人間がミスすることを防げない以上、「フェイルセーフ」「フールプルーフ」を組み込んでいく必要がある。
まずフェイルセーフ。引用する。
フェイルセーフ設計(Fail safe design)とは、機械は必ず故障が発生するということを念頭に置き、故障が発生した場合にも、常に安全側にその機能が作用する設計思想。
機械であれば、「仮に故障した場合、壊れたまま動作することによって、周囲に損害や危険を及ぼすことの無い設計」をいう。例えば
壊れやすい部分を設けておき、高い負荷がかかった場合に意図的にその部分が壊れるようにしておくことで、全体が動作しなくなる、など。
続いてフールプルーフ。
フールプルーフとは、間違った操作方法でも事故が起こらないようにする安全設計のこと。
(中略)
乳幼児が医薬品などの蓋を開けて中身を飲み込み重篤な事故に至ることがある。医薬品を製造する企業はこれら事故への方策として、蓋を回すだけでは開かない仕組みとして特定のボタンを押しながら回さないと開かない仕組みを考案して対処した。乳幼児が一度に二つ以上の操作は出来ないことを逆用したもの。アメリカでは有名な保護法である。
これを年金機構の事例に置き換えるとこういう感じ。なんかいい例が思い浮かばなかったが。
「フェイルセーフ」
- もしマルウェアなどが動作する添付ファイルを開いても、怪しい動きをしたら通信を遮断する仕組みを持たせる
「フールプルーフ」
- もしマルウェアなどが動作する添付ファイルを開こうとしても、確認のダイアログを挟んで再確認させる
あと、年金機構に抗議の電話とかするのはやめてね、みんなの年金がその(コールセンタ増強)分減るんだから。これ受託したコールセンタ事業者の業績が予想以上に良かったら、オレは抗議の電話した奴らのほうに怒りを覚えるわ。
インバウンドコール用に10倍増強とか、ふざけるなって感じ。
