【セミナーレポート】標的型攻撃の成功率を下げる“良い”社内教育とは

サイバーセキュリティラボでは、中堅・中小企業向けに、サイバーセキュリティに関する情報発信の場としてセミナーを不定期開催しています。2025年6月25日（水）には「標的型攻撃」と「社内教育」をテーマにセミナーを実施いたしました。

第一部では、東京大学先端科学技術研究センター客員研究員の西尾氏より、人を入り口とするサイバー攻撃の具体的な手口と、対策を進める上での重要なポイントを解説いただきました。第二部では、サイバーセキュリティラボ エヴァンジェリストの髙橋にて、標的型攻撃対策の効果的な進め方について紹介しました。

本記事では、セミナーの内容を一部抜粋してお届けします。アーカイブ配信も行っておりますので、あわせてご確認ください。

^{※本記事の内容は、セミナー開催時点の情報です。}

まずは、現代のサイバー攻撃事例として株式会社KADOKAWAのランサムウェア被害を振り返ります。

BlackSuit というランサムウェアグループがドワンゴのシステムに攻撃を仕掛け端末を掌握したのち、プライベートクラウドへ侵入、管理者権限を悪用して全サーバーをロックするという内容でした。しかしランサムウェアによる直接的な被害にとどまらず、流出した情報をもとにマスコミが役員や従業員宅へ取材を試みるという二次被害が発生した可能性も指摘されています。

この事例からもわかるように、サイバー攻撃の侵入口はエンドポイントの端末であることが多いです。対策が不十分な場所から侵入し感染を拡大させる、というのが攻撃の典型的な手口と言えます。

それではここから、エンドポイントを入り口とするサイバー攻撃の全体像を見ていきましょう。

上記攻撃手法への対策は、「教育による対策」と「技術による対策」の二分化ができます。それぞれの攻撃手法と有効な対策について解説していきます。

LotLとは、攻撃者が標的システムに存在する正規のツールや機能を悪用する手法です。セキュリティ対策ソフトの検知を回避し、より巧妙にシステムに侵入することが可能になります。例として以下のような正規ツールの悪用が挙げられます。

MotWとは、ブラウザからのダウンロードやメールの添付ファイルなど、外部から入ってきたファイルかどうかを判別しセキュリティ警告を表示する Windows の機能です。

Microsoft Office であれば、マクロの無効化や警告メッセージが表示されます。

攻撃者はこのMotWを回避するために「コンテナファイル化（ISO、VHD、VHDX等）」を使用する手法を確立しました。

以下が感染までの流れです。

^{※ファイルシステムを特定のディレクトリに接続して利用できるようにする操作のこと}

このように、LotLは Windows の標準機能を悪用しているため、技術ですべてを防御することは困難です。（技術的な対策も存在しますが、多額の投資が必要となる場合があります。）

ではどのように対策を取れば良いのかというと、「注意が必要なファイルフォーマットの周知」です。以下に示すファイルフォーマットがメールで送信されてきた場合は要注意といった周知をすることで、多額の投資をせずとも感染を未然に防ぐことができるでしょう。

コンテナファイルに攻撃用ファイルを格納することでMotWが付与されない特殊ファイルが展開される可能性があります。

Microsoft Office のマクロ機能を用いたサイバー攻撃は古来より存在しており、現在も現役です。以下フォーマット以外でもマクロ発火は可能なので注意が必要です。

様々なファイルによるコード実行が観測されていますが、有名なのは以下の3つです。

次はブラウザへの攻撃について解説します。

偽のサイトに誘導し、ログイン情報などの情報を盗むフィッシング攻撃は有名で、対策として多要素認証を導入している企業も多いかと思います。しかし、中間者攻撃と呼ばれる手法が広がり、多要素認証の突破が可能となってしまいました。

中間者攻撃の流れは以下の通りです。

こうした攻撃の被害に遭わないためには「リンク先が正しいURLやドメインなのかどうかを確認する」ことが重要です。

こちらも教育的対策になりますので、従業員への周知を徹底しましょう。

AIの活用で、難読化されたコードやゼロデイの発掘が容易になっています。また、パッチファイルの解析も高速化したことで、パッチ公開から攻撃コード作成までの時間も短縮されています。

このように脆弱性を発見するコストが激減しているため、どんな企業でもいつ攻撃にあってもおかしくない状況なのです。

パッチが公開されてから攻撃コードが作成されるまでの時間がAIの活用で、数時間・数日単位に短縮化しているため、セキュリティ製品による多層防御が重要となります。

詳しくは、Webセミナー「迷う余地なし！EDR“すら”導入しない企業を待ち受ける余りにも残酷な現実」でも解説していますので、あわせてご確認ください。

ここまで攻撃手法と対策について見ていきましたが、結局のところ“良い”教育とは何なのでしょうか？

それは「攻撃者が何を目的としていて、私たちにどのような行動を取らせたいのか」を社員に理解させることです。教育の目的は「攻撃者を侵入させないこと」なので攻撃手法への理解を促すことが重要です。人を標的とした攻撃は、リンククリックやファイル添付などパターンが決まっていることが多いので、パターンを列挙して周知するのが良いでしょう。

また、教育の実践に「訓練」は欠かせません。どれだけ消防についての知識だけがあっても消防訓練を行っていないと、いざというときに対応ができないのと同じことですので、前述の認識を浸透させたうえで訓練を繰り返すことが重要です。

教育の実践のために重要となる「訓練」ですが、どのように実施していますでしょうか？

標的型攻撃の訓練サービスを導入している企業も多いかと思いますが、義務感からとりあえずやっている、といった方も多いのではないでしょうか。

ここからは効果的な標的型メール攻撃訓練の実施方法について解説していきますので、是非参考にしてみてください。

訓練は必ずしも抜き打ちでやらなければならない、といった先入観はありませんか？実は「訓練に気付いてもらう」ことも重要なポイントです。事前通知を行うなどして社員に「気付けた」という成功体験をさせることで、セキュリティ意識の向上にもつながっていきます。

次に、訓練の結果を分析し、メールの開封やリンククリックを繰り返してしまう従業員を特定します。特定された従業員に対しては、個別のセキュリティ研修や注意喚起を行うなど、適切な対応を行うことが重要です。

最後のポイントは、報告体制を浸透させることです。不審なメールに気付かせることももちろん重要ですが、「報告」は初動対応にも関わるため対策の肝ともいえます。

万が一の事態が発生した場合に備え、「誰にどのように連絡を入れるのか」といった報告体制を周知させる場として訓練を活用しましょう。

サイバーセキュリティラボを運営する株式会社USEN ICT Solutionsでは、標的型メール攻撃訓練サービスを提供しています。

「危機感を醸成する」ことに特化し、訓練機能はもちろんのこと、漫画や動画で学べる教育コンテンツも充実しています。