ソーシャルメディアやインスタントメッセージの利用率が高まる一方、電子メールは依然として企業組織にとって重要なコミュニケーションツールとして利用されています。残念なことに、電子メールの普及は、サイバー犯罪者にとっても好ましい状況となっています。本記事では、4種類の電子メールを利用する脅威:スパムメール、フィッシング、なりすまし、ビジネスメール詐欺(BEC)について解説しています。
■スパムメール (迷惑メール)
不要な電子メールを取り除く方法が数多くあるにもかかわらず、スパムメールは現在も多くの課題をもたらしています。通常のスパムメールは単に迷惑とみなされるだけですが、実際の脅威はスパムメールによって配信されるマルウェアにあります。2016年には、ランサムウェアの約71%がスパムメール経由で拡散され、最もよく利用された拡散手法でした。フィッシングメールのように、スパムメールもまた、銀行やオンライン取引先などの正規の情報源によって送信されているように表示設計する事ができ、無意識のユーザに対して不審なファイルをダウンロードさせるチャンスを高めることができてしまいます。注目すべき事例として、「CERBER」、「PETYA」、「LOCKY」などのランサムウェアを含むマルウェアスパムもその大きさや攻撃範囲に応じてどのように進化することが出来るかを証明しました。
ネットワーク管理者は、ポリシー管理や脅威検出レベルのしきい値を含むスパムメール対策フィルタが適切に設定されていることを確認する必要があります。 さらに、包括的な電子メールセキュリティゲートウェイには、多くの場合、Webレピュテーショントラッキング、ドキュメントエクスプロイト検知、カスタム脅威インテリジェンスなどの機能が搭載されており、エンドポイントユーザに到達する前に標的型攻撃をブロックするよう設計されています。
■フィッシング
フィッシングは、ユーザの情報を詐取する攻撃手法の 1 つであり、主に電子メールを利用してユーザをフィッシングサイトに誘導します。心理的操作により受信者を欺き、機密情報を漏洩させます。詐取した情報は、販売されるか、あるいは悪意のある目的に利用されます。フィッシング攻撃は通常、もっともらしい送信者への偽装と、ソーシャルエンジニアリングの手法を利用したメッセージで構成されており、このようなタイプの詐欺に対する認識のない一般ユーザにとっては気付くことが困難です。フィッシングメールには、マルウェアの添付ファイル、不正な Web サイトへのリンク、またはその両方を組み合わせたものがしばしば含まれています。
スピアフィッシングは、より標的を絞ったフィッシング詐欺の形式で、高度にカスタマイズされた攻撃を使用して特定の個人や組織を狙います。この種の手口としては、サイバー犯罪者は多くの場合、潜在的な攻撃対象に関する広範な調査を行い、より正当に見える電子メールを作成します。一般ユーザはたびたびスピアフィッシング攻撃の標的となりますが、2016年の「Pawn Storm作戦」で見られたように大きな組織もまた標的となる可能性があります。
サイバー攻撃者はさまざまなソーシャルエンジニアリングの手法を利用して潜在的な攻撃対象に不正ファイルをダウンロードさせる、あるいは機密情報を公開するように誘導するため、どのようにフィッシング攻撃を回避すればいいか従業員に教育することが重要です。もし組織が利用するセキュリティ対策ソフトウェアにフィッシング対策が統合されている場合は、これらを正しく設定して構成する必要があります。
■なりすまし
なりすましに利用される偽装された電子メールでは、サイバー犯罪者は、ユーザがよく知っている人物や組織を反映した正規の送信者になりすまします。
なりすましは組織に対して二つの異なる脅威を引き起こします。第一の脅威は、ドメイン名をなりすましに利用された組織の評判に対する脅威です。特に、悪意のある電子メールが顧客に送信された場合著しく評判を傷つける原因となります。
第二の、恐らくさらに重要な脅威は、サイバー犯罪者が組織の従業員を対象とするなりすましメールをマルウェアの侵入経路として利用する場合です。
攻撃者が構成の不適切なサーバを簡単に偽装出来てしまうのは、「Simple Mail Transfer Protocol (SMTP)」 にはメールアドレスを認証する仕組みがないためです。なりすましはフィッシングと組み合わさると、正規の電子メールと悪意のある電子メールの区別がより困難になるため、特に危険です。
サイバー犯罪者によって企業ドメインが偽装されるのを防ぐため、IT専門家は「Sender Policy Firework (SPF)」 や「Sender ID」、「DomainKeys Identified Mail (DKIM)」、「 Domain-based Message Authentication, Reporting & Conformance (DMARC)」 などのセキュリティ対策を採用する必要があります。一方で、組織をなりすましから守るためには、エンドユーザレベルでの警戒が必要です。
電子メールのメッセージヘッダを読むことの重要性はもちろん、メッセージコンテンツ内の誤植や通常とは異なるリンクアドレスのような、脅威を特定する指標について従業員に教育することは重要です。リンクアドレスは、クリックせずに、マウスカーソルを合わせて確認してください。
もし企業が利用しているセキュリティ対策製品が電子メールのフィルタリング機能を備えている場合、ネットワーク管理者は電子メールセキュリティ製品の受信メールのフィルタ設定のカスタマイズを検討することも可能です。
■ビジネスメール詐欺
「Business Email Compromise(ビジネスメール詐欺 、BEC)」 は、組織の最高幹部を狙った策略を含むソーシャルエンジニアリングを利用した詐欺の一種です。BECがCEO詐欺としても知られているのは、手口の1つとして、サイバー犯罪者が最高経営責任者の電子メールに不正アクセスする手法があるからです。この電子メールアカウントは、財務部門または会計部門で働く従業員を欺き、サイバー犯罪者が管理するアカウントに資金を移送させるために利用されます。その他のBECの手口も同様に、不正アクセスした電子メールアカウントを使用して顧客または納入業者を欺き不正アカウントに資金を送金させます。米連邦捜査局 (FBI)の「Public Service Announcement(公共広告、PSA)」によると、これまでにBEC詐欺によって約30億米ドル(2018年8月30日時点換算で約3,346億円)の損失が発生しています。
法人組織は数多くのBEC被害を抑えることが出来るよう、送金時における多段階の認証プロセスの利用を検討する必要があります。IT専門家や組織の従業員も同様に彼ら自身でもBECを特定する指標を把握し、受信メールと送信メールの両方について、送信者とコンテンツを精査するなど、適切な電子メール運用手順を実践する必要があります。
■電子メールを利用した脅威に対するベストプラクティス
不審なメールの報告を受ける部署または担当者を設ける
セキュリティデータの収集は、特に何千ものエンドユーザを抱える組織にとってはとても大変な作業です。情報収集を効率化し一元管理するために、IT専門家は従業員に対して便利な方法で、すべての不審な電子メールを報告できる手段を提供する必要があります。
サンドボックスを使用した添付ファイルの分析
多くの電子メールの脅威には、マルウェアを含む不審なファイルが添付されています。サンドボックス機能は、このように不審な添付ファイルを持つ電子メール攻撃に対する非常に重要な防御手段です。なぜなら管理者はネットワーク全体を危険にさらすことなく安全な環境で不正なコードを隔離し、解析することが可能になるためです。巧妙な電子メールの脅威に対しては、トレンドマイクロのサンドボックス技術は、より高度な情報収集と分析を提供する事が可能です。IT専門家は、電子メールセキュリティ製品とサンドボックス分析の双方の機能を組み合わせて解決策を調査する事も可能です。
組織の要件に応じたセキュリティ対策製品のカスタマイズ
電子メールのセキュリティは、単にセキュリティ対策製品をインストールすれば、すべての攻撃に対して自動的に防止措置を取れると期待できるようなものではありません。組織の状況やニーズに応じて変化する包括的戦略が必要です。たとえば、クラウドベースの電子メールホスティングサービスを利用している組織は、社内サーバで電子メールをホスティングしている組織とは異なるセキュリティ対策製品を使用する必要があります。
電子メールを利用した攻撃からの復旧
企業のセキュリティポリシーがどれほどうまく実装されていても、サイバー犯罪者が組織ネットワークに侵入する場合があります。これらの攻撃に対する復旧は、利用されたマルウェアや攻撃手法に応じて異なります。フィッシング攻撃の場合、まずパスワードの再設定を行った後、問題の電子メールを洗い出して削除する事が優先事項となります。ネットワーク管理者は、未確認の電子メールリンクや実行ファイルをクリックしないように事前に通知する必要があります。
セキュリティ文化の構築
電子メールを利用した脅威から組織を守るということは最終的に、CEOから一般職員に至るまで、組織のあらゆるレベル間での共同作業となります。IT専門家にとっては、セキュリティ対策製品やその他の関連ソフトウェアを適切に設定し、定期的に更新することが必須事項です。エンドユーザもまた、電子メールの内容の再確認や、メッセージに埋め込まれているリンクを不用意にクリックしないなど、、セキュリティ対策におけるベストプラクティスについて学ぶ必要があります。結論として、組織とは人も同然です。セキュリティ文化を構築することは、マルウェアに対処するために設計されたあらゆるセキュリティ対策製品と同様に効果的です。
■トレンドマイクロの対策
トレンドマイクロの包括的なメールセキュリティ製品「InterScan Messaging Security™」は、世界中から収集されたスレットインテリジェンスを使用しクラウド内にて電子メールの脅威を阻止し、「Data Loss Prevention™」が機密情報の漏洩や暗号化からデータを守り、また「Network Defense」へのソリューションの一環として標的型電子メール攻撃やランサムウェア、持続型標的型攻撃 (APT攻撃) を識別します。ハイブリッドSaaSデプロイは、オンプレミス仮想アプライアンスのプライバシーと制御と共にクラウドプレフィルタサービスのプロアクティブプロテクションを組み合わせます。
トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery™」は検出や徹底的な分析、エクスプロイトを使用する攻撃に対しては、特殊エンジン、カスタムサンドボックス、および攻撃ライフサイクル全体にわたるシームレスな相関を通じて事前に対応出来るように備え、これにより前述したゼロデイ攻撃のような脅威をどんなエンジンやパターンのアップデートなしでも検出を可能にします。
「Trend Micro Hosted Email Security™」はメンテナンス不要のクラウドソリューションで継続的に更新される保護機能がスパム、マルウェア、スペアフィッシング、ランサムウェア、より高度な標的型攻撃をネットワークに到達する前に阻止します。「Microsoft® Office 365™ Exchange™」、 Google Apps、その他のホスト型およびオンプレミス電子メールソリューションをも保護します。
参考記事:
- 「InfoSec Guide: Mitigating Email Threats」
by Trend Micro
翻訳: 益見 和宏(Core Technology Marketing, TrendLabs)