NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は11月30日、標的型メール攻撃に対する新セキュリティサービスを発表した。自社のセキュリティに不安を抱く企業に向けて、擬似的な標的型メール攻撃を行って耐性を確かめる「標的型メール攻撃被害シミュレーション」などのサービスを提供する。
標的型メール攻撃は、特定の企業や担当者を標的として、マルウェアを添付したメールを送信するもの。昨今さまざまな国や企業で被害が報告されている標的型攻撃の主流となっている攻撃だ。8月の三菱重工などもこの手口で狙われた。
攻撃は、1）マルウェアが添付されたメールを送信、2）添付ファイルを開いてマルウェアに感染、3）PC端末のコントロールの確立、4）調査活動、5）重要情報の奪取、6）重要情報の持ち出し、といった流れで行われる。添付ファイルを開かなければいいのだが、思わず開きたくなる文面で送られてくるのが厄介なところ。例えば、7月に衆議院議員へのメールには「最新号の週刊誌にお写真を掲載いたしますのでご確認ください」といった内容とともに「Photo.zip」が添付されていたという。こうした心理のすき間を完全に埋めるのは難しい。

今回の新サービスは、まず何の対策から着手すべきかの判断を助けるものとなる。「標的型メール攻撃被害シミュレーション」は、標的がメール攻撃の各フェーズにおける耐性を確認する。特長は“システム”と“人”の両面でチェックする点。
システム面では、2通りのチェックを行う。まず、顧客環境にマルウェア感染を想定した端末を設置し、外部のC&Cサーバーから指令を出して制御できるかをチェック。加えて、NRIセキュアのハッキング担当が社内LANを通じて、感染PCからサーバーやPCに一般的な侵入行為が成功するかをチェック。これらにより重要な情報が奪取可能かどうかを実際に試すというものだ。ただし「本番環境に対するハッキングを行うため、ネットワーク構成情報などを事前にいただき、入念に侵入計画書を作り、お客さまの承認を得てから実施する」（西田氏）という。
人の側面では、従業員に標的型メールを実際に送付し、添付ファイルの開封状況をチェック。eラーニングによる教育も提供し、最終的に標的型メールに対してどれだけ従業員の意識が高まったかをレポートする。

NRIセキュア、標的型メール攻撃の被害シミュレーションサービス - クラウド Watch