LIVESENSE ENGINEER BLOG

リブセンスエンジニアの活動や注目していることを発信しています

OSSで標的型メール攻撃訓練を実施した話

技術部 インフラストラクチャー

これは Livesense Advent Calendar 2025 DAY 4 の記事です。

技術部 セキュリティチームの@sheep_san_white@snowman-74です。

先日、社内で標的型メール攻撃に関する訓練を行いましたので、記事にして振り返ります。

はじめに

標的型メール攻撃とは、不特定多数にばらまかれる迷惑メールとは異なり、対象の組織から重要な情報を盗むことなどを目的として送られるメールのことです。

組織の担当者が業務に関係するメールだと信じてメール内のリンクをクリックしたり、添付ファイルを開いたりするなどして、マルウェアに感染するように巧妙に作り込まれたメールです。

現状、座学でのセキュリティ研修は実施しています。しかし、昨今はランサムウェアに対する懸念が高まっているため、より実践的な社内教育が必要だと判断しました。そこで、実際に社内でも標的型メール攻撃の訓練を実施することにしました。

一般的に、ランサムウェアの感染経路としてはVPN製品の脆弱性悪用やリモートデスクトップ経由の比率が高いとされています。リブセンスではゼロトラストセキュリティの対応を進めており、これらの脆弱性を突かれるリスクは構造的に低くなっています。そこで、次の対策としてメールへの対応に着手しました。

ランサムウェア被害にあった企業・団体等へのアンケート調査の回答結果

出典: 警察庁|令和6年における サイバー空間をめぐる脅威の情勢等について(令和7年3月13日)

技術選定

社外の標的型メール攻撃訓練サービスを利用するのか、OSSで対応するのかで悩みました。

外部サービスは保有するメールアドレス数による課金が多く、安いものでも10万円程度からでした。セキュリティ研修とセット販売のケースも多く見られました。

OSSについては、gophishというOSSがあります。 以前、freeeさんが導入した記事を公開されていたこともあり、試しに使ってみることにしました。

システム構成

セキュリティチームでは専用のIaaSを持っているため、以下のような構成で検証を行いました。

gophish構成図

Gmailのフィルタを突破する

gophishの導入で最大の課題となるのが、Gmailの強力な迷惑メールフィルタです。

freeeさんの記事でも「最大の難関はGmail」として紹介されていましたが、Gmailは不正メールの検知機能が非常に高性能で、訓練メールであっても自動的にブロックされてしまいます。freeeさんでは、訓練用にドメインを取得してOffice365のアカウントを作成し、それをgophishに登録することで解決されていました。

リブセンスでは別のアプローチを取りました。社内にはメールサーバと検証用メールサーバがいくつか存在しており、これらのサーバをGmailのホワイトリストに登録しています。そのため、訓練メールの送信元としてホワイトリスト登録済みのメールサーバを利用することで、Gmailのフィルタを通過させることができました。

訓練の実施

実際の訓練メールの具体的な文面や送信手法については、セキュリティ上の理由から詳細を控えさせていただきます。

以下は、訓練メール内のリンクをクリックした際に表示される画面です。freeeさんの記事を参考に、社内ユーザーのみがアクセスできるGoogleDocsでネタばらしをする形式にしました。

標的型メール攻撃訓練-注意喚起

実際の攻撃では、この先で認証情報の入力を求められたり、マルウェアがダウンロードされたりする可能性があります。

訓練結果と振り返り

具体的な数字は伏せますが、集計結果を確認したところメールを開いてしまう人や、リンクまでクリックしてしまう人はいました。

そのため、以下の内容をドキュメントにまとめて社内へ共有しました。

  1. 標的型メール攻撃とは
    • 標的型メール攻撃について解説
  2. 標的型メール攻撃訓練の目的
    • 標的型メール攻撃訓練を実施する目的について解説
  3. 標的型メール攻撃訓練のシナリオ
    • どういう事を想定したシナリオだったのかを解説
  4. 実施結果
    • メールの開封率 / リンクのクリック率について集計した結果
  5. 今回送信したメールの解説
    • わざと怪しい部分を残した上でメールを送ったので、特に注意すべき項目について解説
  6. 今後の標的型メール攻撃訓練について
    • 今後も繰り返し実施する旨について解説

おわりに

今回の標的型メール攻撃訓練を通じて、座学だけでは得られない実践的な気づきを社内に提供できたと考えています。

ちなみに、訓練を実施するにあたり事前通告をするかどうかは悩ましいポイントでした。事前に「訓練メールを送ります」と告知してしまうと訓練の意味が薄れてしまいます。そのため、今回は関連部署への事前通告なしで実施しました。その結果、一部から怒られが発生しました。業務中に驚かせてしまった点は反省ですが、抜き打ちでなければ本当の対応力は測れないため、来年以降も事前通告なしで実施していく予定です。

訓練は一度やって終わりではなく、継続的に実施することで効果を発揮します。今後は定期的な訓練の実施や、シナリオのバリエーションを増やすことも検討したいです。

この記事が、同様の訓練を検討されている方の参考になれば幸いです。

KEEP IN TOUCH

Copyright © Livesense Inc.