【特別企画】

標的型攻撃メールの添付ファイルに潜む脅威から情報を守るには、入り口での対策が不可欠

2017年7月12日、「改めてセキュリティのマネジメントを見直す時 複雑化する脅威、ボーダレス化する対策とは? ~『多層防御』によるセキュリティ対策セミナー~」と題するセミナーが、JR新宿ミライナタワーのマイナビルームBにて開催された。登壇者の1人であるクオリティア 営業本部 ソリューション営業部の部長、辻村 安徳氏は、「標的型攻撃は、やはり入り口で対策を~入り口対策が必要なワケ、添付ファイルに潜む脅威から情報を守る手段~」と題した講演を行った。

自治体のセキュリティ強靭化計画が、企業にとって意味するところとは?

クオリティア 営業本部 ソリューション営業部 部長 辻村 安徳氏

「サイバー攻撃」はこれまでも対策課題として存在していた分野だが、ここ2年で本格的に対策を迫られるほどの脅威として勢いを増している。巧妙化する標的型メール攻撃に対し、従来のシグネチャ・マッチング方式ではすでに時代遅れといわれており、最近はサンドボックスですら効果が低くなってきているのが現実だ。そうしたなか辻村氏の講演では、メール専業メーカーという立場から、最も確実と思える手法である「添付ファイルに潜む脅威から社内の機密情報を守る新しい手段」について、実際の企業/団体の事例を交えて解説された。

講演の冒頭で辻村氏は、総務省が、マイナンバー制度の導入と運用開始、さらには日本年金機構をはじめ国内の自治体で発生している情報セキュリティ事故への対策を抜本的に実施していく方針として示した「ネットワーク分離によるセキュリティ強靭化計画」に言及した。同計画に基づくネットワーク分離は大きく「三層」に分かれる。まず1つがマイナンバー利用事務系であり、これは完全に閉じたネットワークとなる。次がLGWAN接続系で、ここではLGWANを活用する業務用システムと、Web閲覧やインターネットメールなどのシステム(インターネット接続系)との通信経路を分割しなければならない。そしてインターネット接続系については、都道府県と市町村が協力してインターネット接続口を集約したうえで、自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を講じることとしている。

この強靭化計画に基づくと、インターネットとLGWANを分離することで、インターネットからメールを受信するための新たな外部メールサーバーが必要になる。そしてインターネット・ドメインから送信されてきたメールに添付ファイルが付いている場合には、添付ファイル削除やHTMLメールのテキスト化などで無害化したうえで、内部メールサーバーに配送しなければならない。

こうした対策はもちろん企業に求められているわけではない。しかし辻村氏は、企業にとって強靭化計画が意味するところについて、次のような見解を述べた。 「サイバー攻撃などから機密情報を守るためにはさまざまな対策がありますが、どれも99%ブロックできたとしても1%の抜けが生じてしまいます。ならば組織内のネットワークをインターネットと分割してしまおう、というのが強靭化計画の最大の趣旨でしょう。しかし企業が同じような対策を行うというのは、コスト面で無理があると考えるかもしれません。そこで大事なのが、考え方を変えて、なるべく小さな負担で強靭化計画と同様のアプローチをとることです。そこで我々が"メール屋"という立場から提唱しているのが、添付ファイル無害化ソリューション『Active! zone』の活用です。同ソリューションは数多くの自治体にも提供していますが、そのコンセプトは『標的型攻撃対策を強力に後押しするメールの無害化ソリューション』なのです。このActive! zoneであれば、企業にとって無理なく、標的型攻撃に求められる入口対策が可能となるでしょう」

暗号化した添付ファイルも事前にプレビュー可能
ユーザーに気づきを与えITリテラシー向上にも寄与

現在、国内の企業/団体に送られてくる標的型攻撃メールの94%が、添付ファイルを用いて侵入を試みるというものだ。最近の不正アクセスによる被害例を見ても、ほとんどの感染ルートは添付ファイルの開封によるものとなっている。

辻村氏は言う。「逆にいえば、インターネットから送られてきたメールに添付ファイルがあった場合、それを分離して隔離し、本文だけのメールをユーザーに配送すれば感染を防ぐことができる。添付ファイルについては、サーバー側で展開して中身だけ確認できるようにすればいい。こうすることで、マルウェアの感染条件である、Windows OS上での添付ファイルのオープンを防ぐことができます。それが、Active! zoneの基本的な考え方です」

ここで登壇者は、営業担当の菊地 広貴氏にバトンタッチ。同氏はサンプルメールを用いて、怪しいメールに対し、Active! zoneがどのようにユーザーへの気づきを与えるのかを示すデモを行った。

まず最初のサンプルメールは、業務用のメールを装った件名と文面で、Zip形式の添付ファイルを開くとマルウェアに感染する、という最もよくある標的型攻撃メールを模したものだ。これをActive! zoneを通して受信すると、本文には添付ファイルがある旨とリンクが自動的に記される。そしてリンクからActive! zoneにアクセスすると、プレビュー画面が表示されダウンロードする前にファイルの内容を確認することができる。

「実際に端末側にダウンロードして開いているわけではないので、この時点ではマルウェアの感染リスクはゼロです」と菊地氏は言う。

もしダウンロードしようとしても、管理者の設定により添付ファイルの中身をすべて下までスクロールして確認しなければ、ダウンロードボタンは活性化されない。そしてダウンロードボタンを押すと、原本部分だけダウンロードや、マクロを除いてダウンロード、画像データでダウンロード、複数の画像を1つのPDFファイルにしてダウンロードなどが選択できる。

続いて示されたサンプルメールは、添付ファイルがZip形式で暗号化されている標的型攻撃メールである。このような標的型攻撃メールは最近増えており、一般的なアンチウイルスソフトでは検知が難しく、深刻なリスク要因となっている。しかしActive! zoneであれば、暗号化されたメールや添付ファイルであってもブラウザ上で添付ファイルのパスワードを解除し、通常の添付ファイル同様にプレビュー表示して確認してからダウンロードすることが可能だ。Zipファイルの中にさらにZipで暗号化されたファイルも、すべてを階層化してプレビューで確認できる。

またActive! zoneでは、送信者のEnvelope情報がヘッダーと異なる場合には赤字で強調したり、Received Headerから把握可能なMTAのIPアドレスが所属している国名を国旗で表示し、複数の国を経由していると「なりすまし」や「標的型攻撃」の可能性が高いとわかるようにしたりなど、ITリテラシーが高くないユーザーにも「気づき」を与える工夫も凝らされている。

「標的型攻撃メールに関する、管理者からエンドユーザーへのアナウンスも非常に楽になるはずです。実際、少し前に当社にも標的型攻撃メールが送られてきましたが、複数の国を経由したメールは怪しいので添付ファイルを開かないようにアナウンスしていたため、ユーザーは開くことなく管理者に知らせてくれました。念のため社内のエンジニアが添付ファイルを確認したところ、ランサムウェアだったのです。つまり、国旗表示の機能によって、社内のシステムが守られたことになります。ユーザーに気づきを与えたり、ユーザーのITリテラシーを高めるという意味でも、自信を持って提供できる機能だと自負しています」(菊地氏)

既存のネットワークやセキュリティ機器のリソースも有効活用を

講演終盤、再び辻村氏が登壇し、Active! zoneがOffice系ファイルの直接読み取りパスワードであっても、プレビューしてダウンロードが可能な点を強調した。

Office系の直接読み取りパスワードをダウンロードする際には、「パスワードを解除してダウンロード」を選択することで、平文のファイルとしてダウンロードができるようになる。そのため、次世代型ファイアウォールなどを設置している場合、Active! zone側で平文にしてダウンロードすることで、ファイアウォール側でのチェックも可能になる。PCにダウンロードするまで誰も手出しできなかった従来の状況と比べれば、飛躍的に安全性が高まるといえるだろう。

「なるべく管理者やエンドユーザーの運用負荷を抑えつつ、既存のネットワークやセキュリティ機器のリソースを有効活用しながら、よりセキュアなネットワーク環境の構築を目指していきたい。それを可能にするのがActive! zoneなのです」── 辻村氏はこう力説して講演の幕を閉じた。

[PR]提供:クオリティア



人気記事

一覧

イチオシ記事

新着記事