JPCERTコーディネーションセンター(JPCERT/CC)は19日、14企業約2600名に対して標的型攻撃の擬似メールを送り、被験者の行動や意識を調査した「ITセキュリティ予防接種実施調査報告書 」を公表した。
調査は昨年6月18日から今年3月31日までの期間、地方自治体やIT企業、運輸や製造業などの企業14企業の社員2603名に対して行われた。調査の手順は以下のとおり。
(1)標的型メール攻撃についての事前教育を行う。
(2)数週間後に擬似メールを配信する。擬似メールは差出人や本文などの異なる内容を2週間間隔で2回配信し、擬似メールの添付ファイルには開封すると確認ができるような処置を施す。添付ファイルの内容は標的型メール攻撃についての説明と注意喚起が記載されている。
(3)開封率のデータが出揃ったところで、調査の趣旨や目的について説明する種明かしメールを被験者に送信する。
(4)2回の擬似メール送信の後、被験者にアンケートをとる。
調査の結果、1回目の配信で添付ファイルを開封したのは全体の37.1%(966名)、2回目の配信で開封したのは14.1%(367名)だった。また、1回目のみ開封した人は31.4%(817名)、2回とも開封した人は5.7%(149名)だった。被験者アンケートからも同じような結果が得られ、JPCERT/CCのいう「予防接種」の効果が出たといえる。
また、被験者アンケートで有効回答が得られた999名のうち、被験者の属性(性別や年齢、勤続年数、役職など)による開封率の差はなかった。被験者から得られた回答から、擬似メールの本文と表題など見た印象からメールの怪しさを判断している場合が多いことが分かったという。また、メールソフトによっては差出人のメールアドレスが表示されない場合もあり、差出人の表示名が知っている人物や部署だったため、疑わずに開封したケースもあったという。
標的型メールに限らず、メールに添付されたファイルの扱いには注意が必要だ。メールの差出人は偽装することができるので、添付ファイルを開く前にメールアドレスを確認するように心がけたい。
(2009/06/24 ネットセキュリティニュース)
■IT セキュリティ予防接種調査報告書(JPCERT/CC)
http://www.jpcert.or.jp/research/index.html#inoculation