標的型攻撃メール対応訓練実施キット Web サーバ側プログラムの設定 aptkit.aspx と IIS の設定
標的型メール訓練を実施されるにあたり 以下のケースとなる場合は Web サーバ経由で開封者情報を取得することになるため Web サーバの用意と Web サーバ側プログラムの設定が必要になります 1Word 文書添付ファイル型の訓練を実施するケース 2URL リンククリック型の訓練を実施するケース 3Exe 実行ファイル添付型の訓練で 開封者情報のメールを訓練実施対象者 ( 添付ファイル開封者 ) の PC 上から送付する代わりに Web サーバ経由で送付する運用とするケース 設定手順 Web サーバを用意します Web サーバといっても 特別にハードウェアを用意する必要はありません 今お使いの Windows7 パソコンが 1 台あれば十分に訓練を実施することができます もちろん 既に Web サーバをお持ちなら そちらをご利用いただいてもよいです Windows パソコンをお使いになる場合は IIS という Web サーバソフトが標準で使えるようになっていますので IIS と キットに付属の aptkit.aspx の組み合わせをお使い頂くのが 最も簡便です なお Windows パソコンを使わず レンタルサーバなどを利用して Web サーバを用意される場合 Windows Azure など ASP.NET が使える Web サーバであれば aptkit.aspx をお使い頂くことができますが Apache を使用した Web サーバなど ASP.NET が使えない Web サーバをご利用である場合は aptkit.aspx の代わりに aptkit.php をご利用いただくことになります ちなみに ASP.NET 並びに PHP のどちらも使うことができない Web サーバである場合は キットではご利用いただけませんので この場合は お手持ちのパソコンを利用されるなど 別の Web サーバをご用意ください Webサーバにプログラムを設置します Webサーバ経由で開封者情報を取得できるようにします
Web サーバ (IIS) を用意する ここでは お手持ちのパソコン (Windows7 以降の Wndows パソコン ) に IIS をインストールする手順について説明します と言っても 難しくはありません マウスで操作していくだけですので 作業はすぐに終わります 1 コントロールパネルから プログラムと機能 を選択します 3 インターネットインフォメーションサービスに関する項目を選択して OK ボタンを押します 4OK ボタンを押すと IIS がインストールされます マシンの性能によってインストールにかかる時間は異なります 2 Windows の機能の有効化または無効化 を選択します 左図の通りチェックを入れて OK ボタンを押します チェックが入っていない項目については 必要に応じて選択してください
5IIS のインストールが完了したら コントロールパネルから 管理ツール を選択します 7 IIS マネージャー の管理コンソール画面が表示されますので Default Web Site を選択し さらに 出力キャッシュ を選択します 9 出力キャッシュが以下のように追加されます 10 出力キャッシュの設定まで終われば IISの設定は完了です IISが正しく設定されているかを確認するため Webブラウザを起動し http://localhost/ にアクセスしてみてください IIS7であれば 以下の画面が表示されるはずです 6 管理ツールの一覧の中から IIS マネージャー を選択します 8 出力キャッシュ の設定画面で 追加 をクリックすると キャッシュ規則の追加 ダイアログが表示されますので ファイル名の拡張子に.aspx とに入力し ユーザーモードキャッシュ カーネルモードキャッシュのどちらも すべてのキャッシュ の禁止 を選択して OK ボタンを押します 以上で IIS の設定は完了です 続いて aptkit.aspx の設定を行います
Aptkit.aspx を設定する 1 キットに付属の Web サーバ側プログラム のフォルダ配下にある aptkit.aspx と URL リンククリック型の訓練実施 フォルダ配下にある attention.html と imgfiles フォルダを IIS のルートフォルダである C: inetpub wwwroot 配下にコピーします 32 まで完了したら Web ブラウザを起動し http://localhost/attention.html にアクセスします 設定に問題がなければ 以下のような画面が表示されるはずです 2 ファイルのコピーが完了すると 以下のようになっているはずです ファイルのコピーを行う際 上記の警告が表示されますが 続行ボタンを押すと コピーが継続されます
ログ記録用フォルダとメール保存用フォルダを設定する 43 の確認まで完了したら c: inetpub wwwroot フォルダ配下に logs ディレクトリを作成し フォルダのプロパティ設定ダイアログ画面を表示させて IIS_IUSRS に変更権限を付与します 54 と同様にして c: inetpub フォルダ配下に mail ディレクトリを作成し フォルダのプロパティ設定ダイアログ画面を表示させて IIS_IUSRS に変更権限を付与します 但し mail ディレクトリを作成した段階では IIS_IUSRS にフォルダへのアクセス権限が付与されていないため IIS_IUSRS の追加を行います
6IIS_IUSRS をフォルダにアクセス可能なユーザーとして追加するには ユーザーまたはグループの選択 ダイアログで 詳細設定 ボタンを押し 検索 ボタンを押します すると 検索結果の一覧に IIS_IUSRS が表示されるので これを選択して OK ボタンを押します 84 と同様の手順で mail フォルダについて IIS_IUSRS に変更権限を付与します 9aptkit.aspx をメモ帳などのテキストエディタで開き 以下の記述となっていることを確認します 7 以下のように IIS_IUSRS がダイアログに追加されたら OK ボタンを押します
10Web ブラウザを起動し http://localhost/aptkit.aspx?apps=test&kwd=test にアクセスします すると 以下のような画面が表示されるはずです 12 c: inetpub mail フォルダ配下に 拡張子が.eml のファイルが出力されていることを確認します 11 c: inetpub wwwroot logs フォルダ配下に ErrorLog.txt が出力されていることを確認します 拡張子が.eml のファイルは eml 形式で保存された開封者情報のメールになります この eml ファイルは キットに付属の eml ファイル取り込みツール を使って 同じくキットに付属の 開封者情報集計ツール に取り込みが可能なデータに変換することで 訓練メールに添付した Word 文書ファイルを開いたり メール本文中の URL をクリックしたユーザが誰であるか? を集計することができます 以上までの確認が無事完了すると aptkit.aspx の基本的な設定は完了となります 開封者情報のメールを eml ファイルとしてサーバ上に保管する形式でよければ この状態で標的型メール訓練を実施することができますが 開封者情報のメールが指定のアドレス宛に届くようにするには 引き続き 次ページ以降に示す設定を行ってください
開封者情報のメールを指定の宛先に送信するよう設定する aptkit.aspx では SMTP サーバーを利用して 開封者情報のメールを指定のアドレス宛に送信することができます 開封者情報のメールが指定のアドレス宛に届くようにするには aptkit.aspx において 以下の設定を行います この部分の設定を変更します 設定する情報については メールソフトで設定している情報と同じものを指定します なお wwwroot 配下のファイルについては デフォルトでは直接編集して保存することができないようになっていますので 編集した aptkit.aspx については別のフォルダに保存し ファイルエクスプローラーで wwwroot フォルダ配下の aptkit.aspx に上書きコピーします Subject toaddress fromaddress smtpserver smtpport authuser authpass authssl 開封者情報のメールの題名を設定します 変更する必要がなければデフォルトのままで結構です 開封者情報メールの送信先となるメールアドレスを設定します 複数の宛先に送付する場合はアドレスをセミコロン ; で区切ってください 開封者情報メールの送信元となるメールアドレスを設定します メール送信に使用するSMTPサーバーのホスト名を設定します メール送信に使用するSMTPサーバーのポート番号 (25 465 587など ) を設定します メール送信にSMTP-AUTHが必要となる場合は SMTP-AUTHに使用するUser 名を設定します authuserで設定したuser 名に対するパスワードを設定します メール送信にSSL 接続が必要である場合は True にします メール送信に失敗する場合は この設定を変えてみて下さい
開封者情報メールの送信確認方法 Web ブラウザを起動し http://localhost/aptkit.aspx?apps=test&kwd=test にアクセスします すると c: inetpub mail フォルダ配下に eml ファイルが作成される代わりに 開封者情報のメールが 指定した宛先に届くはずです もしメールが届かない場合は c: inetpub wwwroot logs ErrorLog.txt にエラーが出力されているかどうかを確認してください よくある間違い authssl の設定で true とすべきところを false に設定している ( もしくはこの逆 ) smtpport に設定すべきポート番号を間違えている (587 と指定すべきところを 25 に設定しているなど ) SMTP サーバ側で 外部アプリケーションからのメール送信を許可する設定をしていない (Gmail を使う場合など ) fromaddress に SMTP サーバ側では受け入れできないアドレスを設定している SMTP-AUTH の設定 (authuser authpass) を間違えている 開封者情報メールの送信がどうしてもうまくいかない場合は まず aptkit.aspx を設置している PC 上で OutLook や Thunderbird などの通常のメールソフトを使って メール送信が正しくできることを確認してください 通常のメールソフトでのメール送信が正しく行えるのであれば メールソフトの設定画面で設定した内容と同じ情報を aptkit.aspx に設定すれば メール送信が行えるはずです
Aptkit.aspx の使い分けについて aptkit.aspx では 以下の 3 つの用途に対応しています それぞれの使い分けは URL に設定する第一パラメータによって行います なお URL の第二パラメータに指定する kwd=pass については いずれのパターンでも共通の設定となります pass の部分は aptkit.aspx の KeyWord で設定した文字列と同じ文字列を設定します また 以下において xxxx の部分は任意の文字列を指定できます この xxxx の部分が 開封者を特定するキー情報となります URL エンコードした文字列を使えば 日本語などの 2 バイト文字を指定することもできますが 英数文字を使うのが無難です 1Word 文書添付ファイル型の訓練を実施するケース Word 文書ファイル添付型では Web ビーコン画像を返すことになりますので Web ビーコン画像を返却するには 以下の形式の URL を用います http://web サーバのアドレス /aptkit.aspx?apps=xxxx&kwd=pass 2URL リンククリック型の訓練を実施するケース 第一パラメータに apps と指定すると 1 1 ドットの png 画像が返却されます URL リンククリック型では リンクをクリックした先のページやファイル (zip ファイルなど ) を返却する ( リダイレクトする ) ことになりますので 以下の形式の URL を用いると共に aptkit.aspx において LinkURL にリンク先となる URL を設定します http://web サーバのアドレス /aptkit.aspx?user=xxxx&kwd=pass 3Exe 実行ファイル添付型の訓練で 開封者情報のメールを訓練実施対象者 ( 添付ファイル開封者 ) の PC 上から送付する代わりに Web サーバ経由で送付する運用とするケース 第一パラメータに apps もしくは data 以外の文字列 例えば user= や ret= などを使用すると LinkURL に設定した URL にリダイレクトされます キットに付属の模擬マルウェアプログラム (exe 実行ファイル ) では Web サーバ経由で開封者情報のメールを送信することができます この場合の URL は 既に模擬マルウェアプログラム側に組み込まれているため 意識する必要はありませんが 参考情報として 以下の形式の URL を使用すると 空のページが返却されます http://web サーバのアドレス /aptkit.aspx?data=xxxx&kwd=pass 第一パラメータに data と指定すると 空の HTML ファイルが返却されます URL が http://web サーバのアドレス /aptkit.aspx だけで 第一パラメータと第二パラメータの設定がない場合はビーコン画像のみ返却され メールの送信は行われません
Attention.html について URL リンククリック型の訓練では URL リンクをクリックした際に表示する Web ページや ダウンロードファイルが必要になりますが これを全く何もない状態から用意するのは面倒です そこでキットでは URL リンクがクリックされた際に表示する Web ページ画面として 標的型メールに関する教育用のコンテンツの雛形 (attention.html) をご提供しています 雛形では 訓練についての問い合わせ先を記載する箇所を設けてありますので attention.html を利用される際は メモ帳や HTML エディタなどを使って 問い合わせ先の部分を適宜修正した上でご利用ください なお attention.html の内容については 自由に改編してご利用いただけます 但し 著作権フリーではありませんので ご利用いただける範囲は 貴社内でのご利用に限定されますことをご留意ください メモ帳や HTML エディタなどでこの部分を適宜書き換えます
他のパソコンから Web サーバへのアクセスについて 前ページまでの設定については Web サーバを設定したパソコン上での作業を想定しているため URL を http://localhost/aptkit.aspx?~ としましたが 実際の訓練では 他のパソコンから Web サーバにアクセスが発生することになるため http://localhost/aptkit.aspx?~ は使うことができません このため 他のパソコンから Web サーバにアクセスするには IP アドレスでアクセスさせるか DNS や WINS によって ホスト名で Web サーバにアクセスすることができるようになっている場合は ホスト名でアクセスさせるようにします なお Web サーバを設定したパソコンの IP アドレスがわからない場合には 以下の手順で調べることができます 1 コマンドプロンプトを起動します 2ipconfig とタイプしてリターンキーを押します Windows8.1 以降 Windows7 上記赤枠部分が 割り当てられている IP アドレスになります ちなみに 通常の業務でお使いのパソコンを Web サーバとして使用する場合 お使いのパソコンの IP アドレスが DHCP によって動的に割り当てられているケースが多いと思います パソコンの電源を入れなおすことで パソコンに割り当てられる IP アドレスが変わってしまうと 訓練実施前は Web サーバにアクセスできたのに 訓練を実施したら Web サーバにアクセスができなくなってしまった ということが起こりえますので DHCP によって動的に IP アドレスが割り当てられるパソコンを Web サーバとしてお使いになられる場合は この点にご留意ください
Word 文書ファイル添付型の訓練実施方法 Word 文書ファイル添付型の訓練を実施するには http://web サーバのアドレス /aptkit.aspx?apps=xxxx&kwd=pass 形式の URL を設定した Web ビーコン画像を埋め込んだ Word 文書ファイルを 訓練実施対象者毎に作成し これを訓練メールに添付する形で実施します 1 訓練メールに添付する Word 文書ファイルの作成 Web ビーコン画像を埋め込んだ Word 文書ファイルの作成には キットに付属の Word 添付ファイル一括作成ツール を用います このツールを使うことで apps=xxxx の xxxx の部分を訓練実施対象者毎に変えた Word 文書ファイルを一括して作成することができます http://web サーバのアドレス /aptkit.aspx を Web ビーコンイメージファイルの URL として設定します ツールが生成する Word 文書ファイルの保存先は以下のようになります C: temp wordtest test01.docx Word 文書ファイル一括作成時の注意事項 Web ビーコンを埋め込んだ Word 文書ファイルの作成時には aptkit.aspx へのアクセスが発生します この際 aptkit.aspx が開封者情報メールを送信できる状態になっていると 生成する文書ファイルの数だけメール送信が発生することになります 短時間で大量のメール送信が発生すると SMTP サーバ側で SPAM メールを送信しているとみなされてアカウントがロックアウトされてしまうなどの弊害が生じることがありますので Wod 文書の一括作成をする際には 一時的に aptkit.aspx へのアクセスができないようにしておくなど メール送信が発生しないようにした上で作業を行うようにして下さい KeyWord の値を秘密の合言葉として設定します apps=xxxx の xxxx の部分に設定する値を記載します ここで設定したキーワードが個々の Word 文書ファイルに埋め込まれます ユーザー毎にキーワードを変えて Word 文書ファイルを作成するため 生成する Word 文書は訓練実施対象となるユーザの数だけ生成することになります
2 生成した Word 文書ファイルを添付した訓練メールの送信 ユーザ毎に apps=xxxx の xxxx の部分を変えた Word 文書ファイルを 各ユーザー宛の訓練メールに添付してメールを送付します ユーザ毎に添付ファイルを変えてメールを送信する作業を手作業で行うのは大変であるので キットではこの作業を一括して行うためのツールとして メール一括送付ツール を付属しています このツールを用いることにより ユーザ毎に添付するファイルを変えながら 訓練メールを一括送付することができます メール一括送信ツールの使い方については ツールに付属の使い方の説明を参照願います Word 文書一括生成ツールと メール一括送付ツールとの関係 送付先のアドレスを指定します メールに添付されるファイル名を指定します メール一括送付ツールでは E 列に記載されたファイルのコピーを作成し F 列に記載されたファイル名にリネームしてメールに添付します これにより 訓練メールに添付されているファイル名は同じだが 添付されているファイルの中身はユーザ毎に異なる ということを実現することができます
URL リンククリック型の訓練実施方法 URL リンククリック型の訓練の訓練を実施するには http://web サーバのアドレス /aptkit.aspx?user=xxxx&kwd=pass 形式の URL を記述した訓練メールを送付する形で実施します ユーザ毎に user=xxxx の xxxx の部分を変えた URL リンクを記載したメールを送信する作業を手作業で行うのは大変であるので キットではこの作業を一括して行うためのツールとして メール一括送付ツール を付属しています このツールを用いることにより ユーザ毎に URL リンクを変えながら 訓練メールを一括送付することができます メール一括送信ツールの使い方については ツールに付属の使い方の説明を参照願います URL リンクの記述と メール一括送付ツールとの関係 送付先のアドレスを指定します ファイル添付を併用すると Word 文書ファイル添付型や exe 実行ファイル添付型の訓練と URL リンククリック型の訓練をミックスした形式での訓練を実施することができます メール本文中に記載する URL を指定します 訓練メールの送信形式が HTML 形式である場合は G 列に記載した URL が メール本文に記載されている URL として ユーザーには見える形になります メールの送信形式がテキスト形式である場合は G 列の記載は無視され H 列の記載が使われます user=xxxx の部分を記述します リンククリックにて実際にアクセスすることになる URL を指定します ここで指定する URL には パラメータ文字列は記載しません kwd=pass の部分を記述します
実際の URL リンク先を隠ぺいする方法 URL リンククリック型の訓練で用いる http://web サーバのアドレス /aptkit.aspx?user=xxxx&kwd=pass 形式の URL を訓練メールに記載したのでは メールを見る人によっては この URL を見ることで 訓練であるとすぐに感づかれてしまう懸念が考えられます HTML 形式のメールを用いることで 見かけ上の URL を変えることはできますが URL にマウスオーバーすると 実際にアクセスする先の URL がわかってしまうため 実際の URL リンク先を隠ぺいするための方法として 短縮 URL サービスを使うという方法があります キットでは http://web サーバのアドレス /aptkit.aspx?user=xxxx&kwd=pass 形式の URL を Google が提供する短縮 URL サービスの URL である http://goo.gl/~ の形式に一括変換する 短縮 URL 一括作成ツール が付属しています 短縮 URL 利用時の注意事項短縮 URL は 実際の URL にリダイレクトするサービスであるため 短縮 URL が使えるのは インターネットに接続できる環境のみとなります インターネットに接続できない環境下で訓練を実施する場合は 短縮 URL をクリックしても goo.gl のサーバーにアクセスすることができず リダイレクトができないため 実際の URL にアクセスさせることができませんのでご注意ください 短縮 URL を作成したい URL を記述します
その他注意事項 SSL による接続について Web サーバーへの接続について SSL による接続を行いたいというご要望をいただくことがあります この場合 正式な証明書を用いての SSL 接続であれば問題はありませんが 自己証明書による SSL 接続はお使い頂いただけません 自己証明書による SSL 接続では SSL 接続を行うに際して 接続を継続するかどうかのダイアログが表示されることになるため 接続をキャンセルされると aptkit.aspx へのアクセスが発生せず 開封したことを記録することができなくなってしまうためです 認証プロキシが設置されている環境について Web サイトへのアクセスに際しては認証プロキシを経由して行う環境となっていて Web サイトにアクセスするかどうかを尋ねるダイアログを表示するようになっている環境の場合も 自己証明書による SSL 接続と同様 接続をキャンセルされると aptkit.aspx へのアクセスが発生しないことになります セキュリティ対策ソフトによっては 警告が表示されるなどの動作となる場合があります セキュリティ対策ソフトによっては プログラムが Web サイトにアクセスを行うに際して警告を表示するようになっているものがあります これはセキュリティ対策ソフトが外部との通信を監視していることによって発生するもので 警告が表示されないようにすることはできません 警告が表示されないようにしたいという気持ちはよくわかりますが 警告が表示されることの意味について 訓練を受ける側が正しく理解しているかどうかはとても重要なことです 警告の意味を正しく理解できていないがために 警告を無視して実行を継続してしまう人がいれば それは組織にとって人的なセキュリティホールとなってしまいますので 警告が表示されることを前提に訓練を実施し 警告が表示されても無視して実行を継続してしまう人がいるかどうかを確認することも重要なポイントです