Ⅰ）エグゼクティブサマリー

■この度、株式会社クロスワープは株式会社神戸デジタル・ラボ様と代理店契約を締結することになった。
■神戸デジタル・ラボ様のセキュリティソリューションの一つにASP型標的型メール攻撃訓練サービス『Selphish』（セルフィッシュ）がある。
■『Selphish』の強みは以下の3点である。
　①単発ではなくメール送信数による年間チケット制のため、お客様の好きな時に好きなだけ訓練が実施可能。
　②最小契約単位はメール100通：￥300,000から。
　③ASPサービスのため、セキュリティ会社との調整が不要であり、お客様の任意のタイミングで簡単に訓練が実施可能。
■そこで、一際ITに疎い非技術者であるこの堤が、簡単に標的型メール攻撃ができるかどうかを実際に『Selphish』で試してみることにした。

Ⅱ）はじめに

皆様、おはようございます。情報セキュリティ事業部の堤です。
先月の私の記事に対しても多くのアクセスを頂き、誠にありがとうございました。
深く感謝申し上げます。

blog.modd.com

さて皆様。早速ですが、今回は告知から始めさせて下さい。

この度弊社は、株式会社神戸デジタル・ラボ様と代理店契約を締結させて頂くことになりました。

株式会社神戸デジタル・ラボ様のHPはこちらになります。
www.kdl.co.jp

この西日本に地盤を持つ神戸デジタル・ラボ様ですが、自社内に開発部門を持っており、なかなかに面白いセキュリティソリューションを開発されています。

※Proactive Defense
www.proactivedefense.jp

こうした魅力的なソリューションの中でも、一際弊社が面白いと感じたのが、ASP型標的型メール攻撃訓練サービス『Selphish』（セルフィッシュ）です。

※ASP型標的型メール攻撃訓練サービス『Selphish』
www.selphish.jp

2017年はWannacryやIoT、自動運転などに話題が持って行かれた感がありましたが、標的型メール攻撃対策は、セキュリティ業界にとっては引き続き重要なドル箱に課題になっている様子。
自治体によっては、あまりにも対策を打ちすぎて、業務に支障が出るレベルにまでなっているところもあるとか。
www.tokyo-np.co.jp

そうしたドル箱ソリューションの市場の中でも、非常に多くの会社が参入しているのが、『標的型メール攻撃訓練サービス』の分野です。
ためしに、”標的型攻撃”、”訓練”、”一覧”でググって見て頂けると、非常に数多くのソリューションが出てきます。
ぶっちゃけた話、どれがどれだか区別がつかない。

当然、神戸デジタル・ラボ様も、既にこの事業には参入済みです。
www.proactivedefense.jp

どのソリューションも似たようなサービスメニューをお客様に提供しています。
訓練の流れも大体共通しており、概ね以下のような流れになっています。

Ⅲ）早速登録だ！

さっそく神戸デジタル・ラボ様に『Selphish』のIDの発行を依頼すると、以下のようなメールが来ました。

早速URLをクリックしてメールアドレスやパスワードを入力します。
パスワードが、大文字英数字記号の全てを使って設定する必要があることに気が付かずに、入力を３回ほどミスり、パソコンをひっくり返しそうになった事を除けば、概ね順調に登録が完了しました。
ここは普通の入力画面なので、キャプチャ画像は省略します。
断じてキャプチャ画像を撮り忘れたからではないッ！。

Ⅳ）この後どうしよう？

登録が完了すると、このような画面に移動します。

ようし、この後、

この後、

……どうしよう？

この時、私の頭に浮かんだのは、先週行ったイオンのドコモショップで、最新型のスマートフォンを手に持って途方にくれるお爺さんの姿でした。

わかる、わかるよ、お爺さん！あの時のあなたの気持ちがッ！
不安だよッ！不安だったよねッ？！
今の僕もそうだよッ！

いや。正直ですね。
この世界のエンジニアの皆様は、甘く見ていると思うんですよ。

……我々のITに関する”疎力”（うとりょく）というものを。

我々のようなITに疎い人間に必要なのは、直感的なインターフェースというヤツだけではダメなんですよッ！
我々にはさらにチュートリアルというものが必要なのですッ！

そう、具体的に言うと、登録画面から標的型メール攻撃を実際に行うまでの説明動画ッ！
さらに字幕もつけて、ヘッドホンつけないでも内容がわかるものが望ましいッ！
できればそれをTop画面に貼ってほしいッ！

大事なことなので、もう一度言います。

エンジニアの皆様は、我々のITに関する”疎力”をナメているッ！

Ⅴ）とりあえずやってみる。

とはいえ、「いや、このサービスのターゲットは、お前のようなIT音痴じゃねーし！」という神戸デジタル・ラボ様からの極めて真っ当なツッコミも想定されます。
正直、このブログの編集画面閉じて、早々にネットサーフィンにでも興じたいところではありますが、さすがにここで終わりにするのはあんまりなので、こちらの説明ページを見ながら標的型攻撃メールのやりかたを探索します。

www.selphish.jp

うーん……とりあえず、この「簡易送信テンプレート一覧」というやつの中から、選べばいいみたいですね。

まあ、先日、大企業に対する振り込め詐欺事件もあったことだし、一番右のにしましょう。
（⇒あの件は、標的型攻撃ではなかったですが(；・∀・)）

ぽちっとな。

こんな画面が出てきました。

「CSVインポート形式：送信対象者.csv」とあります。
既にCSVとか言う段階でお腹いっぱいになりますが、フォントの色が変わっているので、とりあえずクリック。

こんなファイルがダウンロードされてきました。
とりあえずここに、今回の生贄訓練の対象者名とメールアドレスを入力するようですね。
エクセルで保存しないとデータが消える可能性があるとの警告があるため、とりあえず名前をつけてエクセル形式で保存します。

チームメンバーの名前とアドレスを入力します。

さすがに個人情報なのでマスキングさせてもらいます。危うく忘れるところだった。

さて、入力したエクセルファイルですが、どうやってアップロードしよう・・・なんか、この「Browse」ってボタンが怪しいので、押してみます。

ブラウザが開きました。

ここからさきほどの入力したエクセルを選べってことでしょうか？
とりあえず選んでみます。

怒られたじゃねーかッ！（怒）

え？いや、ちょっと待ってくださいよ。
マイクロソフトさんの言うとおりにしたら、『Selphish』さんに弾かれる……
あれですか？課長の言うとおりにしたら、部長に怒られるヤツですか？

……なんてことだッ！この世界はかくも理不尽に満ちているッ！

……仕方ないので、もう一回CSVファイルをダウンロードして再入力し、CSVファイルのまま再アップロードします。

できたッ！
それっぽいメール文も記載されております。

あとはこの「設定完了」というボタンを押すと、メールが飛んで行くというわけだな……

Ⅵ）全ての準備は整ったッ！……参るッ！

さっそく打ち込んでみることにします。

ふはははッ！行けぇ！これが私の標的型攻撃だッ！

「設定完了」というボタンを押すと、こんな画面に移動しました。

どうやらこれで完了のようです。

まあ、さすがにチームの皆様は引っかかるわけはなく、見事に放置されていたので、とりあえず自分が引っかかってみて添付ファイルを開いてみることにしました。

あー、ムカつくわ～、なんかムカつくわ～。
なんでしょう。訓練と分かっていても、このちょっとイラッとする感じ。
ああ、あれだ。学校のテストとかで味わったやつだ……

恐らく、この文面をもっと煽る感じに改善していけば、より学習効果が高まりそうですね。
※今回はテンプレートで行いましたが、契約後のメニューでは、メール本文や添付ファイルの内容は自由にカスタマイズ可能とのことです。

なお、何人が開封したかについても、左の『トレーニング一覧』タブにて確認することができます。

さて問題は、この後どうするかだな……

Ⅶ)まとめ

多少の苦戦はしましたが、無事標的型メール攻撃が行えることが確認できました。
今までの内容を踏まえて感想を３点にまとめたいと思います。