Skip to content

セキュリティマガジン TREND PARK

そのメール、本当に「安全」ですか?


従来のゲートウェイ対策だけでは防げないメール攻撃とその解決策
―いま、企業に必要な次世代メール攻撃対策とは―


 いままでのセキュリティ対策では防御が難しいメール攻撃が増加しています。緻密な調査を行い、顧客や上司など業務上重要な人物に巧妙になりすますケースが増えているのです。疑いもなく、添付されたファイルを開いたり、記載されたURLをクリックしたりすると、社内のシステムや重要情報が攻撃者の餌食になる──。問題は、こうした新しいメール攻撃の場合、従来の対策(メールゲートウェイ)をすり抜けてしまう危険があるということです。防ぐ手だてはあるのでしょうか。いま、求められるセキュリティ対策に迫ります。

通常の業務メールになりすましたメール攻撃が日本企業を狙う

 メール攻撃の手口がますます巧妙化の一途をたどっています。以下の例を見てください。

●例A  ある日、人事部に履歴書の送付先について問い合わせメールが届く。担当者が履歴書を送付するよう通知すると、応募者から履歴書を暗号化したというファイルが送られてきた。 ●例B サポート窓口に関連会社の営業担当から、製品の不具合についてのクレームメールが届いた。内容は、実在するサポート担当者の名前を挙げ、「対応が遅いため、不具合の様子を動画で記録した。Webサイトにアップしたので、すぐ確認してほしい」とURLが書かれていた。

 いずれも日常の業務で起こりそうな一コマです。人事担当者であれば、パスワードを入力して暗号化ファイルを開くでしょうし、サポート担当者であれば、不具合の状況を把握するために指定されたURLをクリックするでしょう。職務を担う者として当然の対応です。
 しかし、これらは企業システムの乗っ取りや情報搾取を狙ったメール攻撃の手口なのです。
 「なかでも最近になって増えているのが、例Aのような『やりとり型』と言われる攻撃手法です。事前に攻撃対象者の情報を調べ上げて、上司や顧客、取引先になりすまし、何度かメールのやりとりを行うことで対象者を信用させた後、攻撃を仕掛けるのです。事前のリサーチには、ホームページ等の公開情報やソーシャルメディアを悪用したり、関連会社や取引先のシステムへ侵入して対象者のスケジュールや関係者間で用いられるスラングなどの情報を盗んだりして、なりすましの精度を上げると言われています」とトレンドマイクロ ビジネスマーケティング本部の横川 典子は説明します。もはやメール攻撃は、外国語や不自然な日本語が使われているなど、かつてのように、見抜くのが容易なものではなくなっているのです。

 近年、国内ベンダーが開発した日本語ワープロソフトや表計算ソフトの脆弱性を狙った攻撃が増加しているという事情もあります。これは、日本企業をターゲットにした攻撃者が常に存在していることの証左でもあります。「トレンドマイクロの調査でも約1割(※1) に上る割合で日本語ソフトの脆弱性を利用した攻撃が確認されています」(横川)。
※ 最新の当社調査では、日本語ソフトの脆弱性を利用した攻撃は15%にのぼっています(2015年4月「標的型サイバー攻撃分析レポート 2015年版」)
 日本企業は、早急に巧妙化、悪質化しているメール攻撃への対策を打つ必要があるのです。

長年の実績とノウハウを武器に新手のメール攻撃をブロック

 では、こうした新手のメール攻撃から企業システムや情報資産を守るにはどうすればいいのでしょうか。利用者がメールのなりすましに気付くのは極めて困難である以上、メールが届く前に不正なメールに対処する必要があります。
 そこで、トレンドマイクロが提供を開始したのが、次世代メール攻撃対策アプライアンス「Deep Discovery™ Email Inspector(以下、DDEI)」です。

 新手のメール攻撃の問題は、その攻撃の特性から、従来のメールゲートウェイ対策をすり抜けてしまう危険があるということです。巧妙なメール攻撃に添付される不正プログラムや記載される不正URLは、ターゲットの環境に応じカスタマイズされた未知の脅威であるものが多いという特徴から、パターンファイルやブラックリストを更新して対応するような既存の対策だけで防御するのは難しく、それが被害を拡大させているのです。
 「また、『やり取り型』に用いられるようなパスワード付き圧縮/暗号化ファイルにも問題があります。このファイルが脅威としての振る舞いを開始するのは、パスワードが入力され、開かれた後。それまでは有害であることを見抜くことが難しく、侵入を防ぐのが困難なのです」(横川)。

 これに対し、DDEIは、トレンドマイクロが、スパムメールの解析などで長年にわたって培ってきた構文解析技術を用いることで、メール本文からパスワードを類推。それを適用することで、ファイルの中身を解読することができます。こうして、対策が難しいとされてきた圧縮/暗号化ファイルについても対応できるのです。
 また、高度な脅威検出技術によって、通常のエンジンで検出が難しいゼロデイ攻撃やドキュメント脆弱性攻撃コードも検出。さらに疑わしいファイルは、隔離した仮想環境上で実際に動作させ、結果を解析する「カスタムサンドボックス」という機能も同時に用いることで、多角的な脅威分析を実行し、パターンファイル照合では検知が難しかった未知の脅威にも対応します(※2)。

 不正URLについても、Webレピュテーションによる検出に加え、カスタムサンドボックス上で実際にクリックした際に何が起こるかを検証。検出リストにないURLでも、そのリンクが不正かどうかを判断することができます。
 「添付ファイルに仕組まれた脆弱性攻撃コードの検出、昨今増加している正規サイトを改ざんして踏み台として利用する『ドライブバイダウンロード』による不正の識別も可能です」と横川。しかも、カスタムサンドボックスは、文字通りカスタマイズが可能となっており、日本語Windowsをはじめ、多様な日本語環境のアプリケーションに合わせて設定することで、日本語ソフトの脆弱性を狙った攻撃にも対処できる(※3)。また複数のサンドボックスを構築して、同時に動作させることも可能だ。「お客様のエンドポイント環境が複数ある場合、それぞれに最適な環境を用意することで、より厳格な防御策を講じることができます」(横川)。

 つまりDDEIは、巧妙になりすましたメールでも、添付ファイルやURLの不正を暴き、削除、隔離、あるいはアラートを上げることで、その被害を抑止するのです。

これまでの投資を活かしつつ多段防御で対策を強化

 DDEIは、既存のメールゲートウェイ製品に追加することで、セキュリティ強化を図ることが可能。「ゲートウェイ製品に依存しないので、他社のセキュリティ製品であっても共存が可能です。システムを全面刷新する必要がなく、従来の投資を活かしながらDDEIのメリットを享受いただけます。限られた投資の中で次世代メール攻撃対策のための多段防御を実現できるのです」と横川はメリットを述べます(図)。

図:多段防御を可能にするDeep Discovery Email Inspector

DDEIを付加する形で多段防御を実現できる。ヒューリスティック検知やサンドボックスによる未知脅威の分析のほか、不正URLの分析、パスワード付き圧縮/暗号化ファイルの分析も可能だ。

多段防御を可能にするDeep Discovery Email Inspector

 また、管理機能も充実しています。検知したメールはリスト形式で一覧表示できる上、ドリルダウン方式で詳細を見たり、プレビュー画面から検知したメールの添付ファイルの内容を確認したりすることもできます。「自由にレイアウト可能なダッシュボード機能を使えば、攻撃の傾向やリスクの高低なども視覚的にわかりやすく把握できます」と横川は話します。傾向に基づく対策を社内ルールに反映させれば、リスクの低減に効果が期待できます。

 届いたメールには、きちんと対応する──。当たり前の行動を逆手にとった、巧妙なメール攻撃。攻撃によるリスクの抑止はもちろん、現場がメールの不正を疑いだして業務に支障が出るといった事態を避けるためにも、早急な対策が求められています。DDEIは、そのための極めて有効なソリューションといえるのです。

DDEIの詳細はこちらをご覧ください。

※1 「2013年国内における持続的標的型攻撃の分析」(トレンドマイクロ 2014年3月)
※2 すべての未知の脅威に対応するものではありません。
※3 2014年7月7日現在、Microsoft Windows XP, Microsoft Windows 7に対応。全てのアプリケーションの動作を保証するものではありません。

記載内容は、2014年7月現在のものです。内容の全部もしくは一部に変更が生じる可能性があります。

標的型攻撃 記事一覧へ戻る

記事更新日:2015.06.04
記事公開日 : 2014.07.28

ページの先頭へ