読者です 読者をやめる 読者になる 読者になる

Nanairo

プライベートを充実させてみたいものだ…。

職場で標的型攻撃メール訓練用の仕組みを作ったので備忘録

職場でセキュリティ教育の一環として標的型攻撃メール訓練をすることになったので、何かいいソリューションないかなと探していたのだが、予算も無いので仕方がなく自作することにした。
と、いうわけで来年も同じ目に遭うと記憶の底から構成を思い出せるか不安なので備忘録がてらメモ。

まずは今回の構成図から。本物を出すわけにはいかないので、iPadで架空のものを書いた。Apple Pencilで書いたけど、鉛筆で書くよりも字が汚くてちょっと残念。
f:id:tachi221:20170226225006j:plain

やりたいことをまとめると、
・外のフリーメールアドレスを1個取得して、標的型攻撃メールにそれっぽく似たメールを作る。ちなみに今回やるものはリンク型とする。
・LANの中にWebサーバー(IIS)を立てて、メールのリンクをクリックした職員を警告サイトへ移動。教育資料を見せ、再発防止に努めさせる。
・報告書を作成する際の参考としてアクセスログをとる。Active Directory環境なのでSSO(Single Sign On)によりアクセスした利用者のユーザーIDを取得する。

それではまず下準備から。


1.GPOの作成
 Internet Explorerのデフォルト設定でSSO認証を行うためには、IISで公開しているページがIE上で「ローカルイントラネット」として認識される必要があるので、まずはこの設定を行う必要がある。AD環境下にいるので設定の配布はもちろんGPO(Group Policy Object)で配布する。

(1)gpmc.mscを起動する。
(2)ユーザーの構成>管理用プレート>WindowsコンポーネントInternet Explorer>インターネットコントロールパネル>セキュリティページの順に展開する。
(3)サイトとゾーンの割り当て一覧を開いてポリシーを有効にする。
(4)表示を選択して以下のとおり入力する。
 値の名前:example.ne.jp
 値:1
(5)OKを押して、作成したGPOを利用者を格納しているOUに適用させる。
(6)確認はIE上のインターネットオプション>セキュリティ>ローカルイントラネット>サイト>詳細設定で可能。

2.IISの構築
 Windows Serverの余りが無いか、倉庫を探したけど何もなかったので、Windows 7 Proを使ってIISを構築。このパソコンはドメイン参加させた。また、IISとなるパソコンは当然ながら固定IPを設定する。構築の詳細は割愛するけど、Windowsの機能の追加をする際にIIS本体はもちろんだが、セキュリティとして「Windows認証」にチェックを入れておくこと、IISでKerberos認証(か、NTLM認証。)をするように設定するのを忘れないようにする。
 IISを構築するとき、ログを取る設定にしておくと、標的型攻撃メールに対して不適切な操作をしてしまったユーザーの情報を取得することが出来る。

3.ダミーレコードの設定
 DNSに対してダミーレコード(Aレコード)を設定する。
 AD環境ではADとともにDNS機能もインストールされているので、このDNS機能を使う。
 dnsmgmt.mscを起動して前方参照ゾーンにダミーリンクのURLのドメイン部分をゾーンとして登録する。この登録を行う際、実際にあるホームページのURLを指定するととんでもないことになるので、必ず使われていないドメインを指定する。ゾーン情報を作成したらAレコードを作成する。
 例)www.example.ne.jp Host(A) 10.0.0.101

4 教育用資料の作成
 標的型攻撃メール訓練で不適切な操作をしたユーザーに対して、再発防止のための教育資料を見せる必要があるのでこの資料を作成する。筆者はWordを使って作成、mht形式で保存の上、IISにアップロードした。

あとは攻撃対象者の業務内容等をどこからか合法的な仕入れてきて、普段の業務であたかもやり取りするような内容でダミーリンクをクリックさせるように仕向けたメールを外のフリーメールから対象者に対して送信する。
そして、日がたったらIISのログを見て、誰がアクセスしているのかをメモする。

これはリンク型のシミュレーションになっているが、添付型のシミュレーションをしたい場合にはWebビーコンをファイルに組み込んだうえで、WebビーコンIISに向けて飛ばすように仕込めば、添付型の訓練も実施可能。

それにしても2日前にあれほど口酸っぱく言ったのにもかかわらず、開いている人間が何名かいてセキュリティ担当者がいくら頑張っても使う人間がこれじゃなあと思ったのは私だけなのか…。これは定期的な訓練が必要ですな…。