メモ

1. 受信時のメールの取扱方法の再確認と報告の習慣化 【リテラシ】【運用管理】

(1)　メールに対する警戒意識の向上と維持

　最近の標的型攻撃メールの文面、タイトル等の内容は、標的となる組織の通常業務に合わせるなど非常に巧妙化しており、一見では判断することが非常に困難となっています。従業員に定期的な教育を行い、標的型攻撃メールに対する警戒心の向上・維持を図ってください。IPAでは、標的型攻撃メールの見分け方に関する ガイド を公開していますので、参考にしてください。

(2)　標的型攻撃メールへの対応訓練の充実

　組織として攻撃を検知し、被害を最小限に抑えるためには、標的型攻撃メール訓練を行い、対応を習慣化することが重要です。訓練を行う際は、添付ファイルやリンクのクリック率を測るだけでなく、以下のような対応を徹底することも検討してください。
従業員は、違和感や不審な点に気付いたり、万一添付ファイルやリンクをクリックしてしまったりした場合は、組織の対応体制に従い、所定の担当部門（システム管理者など）に報告する。
担当部門は、添付ファイルやリンクをクリックしたにも関わらず、取るべき行動（担当部門への報告など）を行わなかった従業員に対してフォローアップを行うなどし、取るべき行動の習慣化を促す。
　訓練においては効果を最大限に引き出すため、別紙「標的型攻撃メール訓練の目的と活用 〜効果を上げる方法〜」を参照してください。

(3)　受信メールの真正性を保証する仕組みの導入

　取引先を詐称する標的型攻撃メールを抑止するため、関係組織と協力し、メールへの電子署名や、SPF(*3)、DKIM(*4)といったメールの真正性を保証する仕組みを導入すること等も検討してください。

2. 被害を回避、低減するためのシステム上の見直し 【システム】【運用管理】

(1)　大量の重要情報を保有するデータベース（以後、DB）が存在するセグメントの分離

　重要情報を保有するDBは、外部から容易にアクセスできないよう保護する必要があります。そのようなDBは、インターネットにアクセスする部署のコンピュータが存在するセグメントから堅固に切り分け、適切なアクセス制限がされているか、確認してください。また、結果的に保護策を回避するなど、安易な運用をすることのないよう、運用管理が適切に行われているか、確認・見直しを行ってください。

(2)　ファイルの安全性を確認する環境の整備

　不特定多数の顧客とメールのやり取りをする部署等では、不審な添付ファイルだと思っても、業務上開かざるを得ないことがあります。そのような場合は、ネットワークから切り離したPCや仮想環境（仮想マシン）で開くなど、添付ファイル確認用の環境を用意し、安全性を検証する仕組みを導入すること等も検討してください(*5)。

3. インシデント発生に備えた体制の整備と訓練の実施 【運用管理】

　深刻な被害を回避・低減するためには、異常や問題をできるだけ早く検知するだけでなく、初動対応をいかに早く、適切に行えるかが重要です(*6)。有事に迷わず初動対応に着手できるよう、以下のような準備を行ってください。

組織内の関係者の連絡体制の整備、外部関係者（調査ベンダなど）の連絡先のリスト化
インシデント発生時の、問題の切り分けや対応の手順書の整備
サービス停止など、有事の対応に関する社内調整フローの確立
4. 「IPA標的型サイバー攻撃特別相談窓口」の活用

　IPAでは、標的型サイバー攻撃を受けた際に専門的知見を有する相談員が対応を支援する「標的型サイバー攻撃特別相談窓口」を設置し、相談を受け付けています。標的型サイバー攻撃を受けて対応に困った場合は、ご相談ください。

【注意喚起】攻撃の早期検知と的確な初動による深刻な被害からの回避を：IPA 独立行政法人 情報処理推進機構