企業や組織でセキュリティに従事する現場担当の方々は、日々のインシデント対応や、セキュリティレベルの向上を目指す中で、さまざまな疑問に直面していると思います。どんな対策をどこまでやれば安全なのか?本連載「すぐに役立つセキュリティ対策」では、トレンドマイクロのエキスパートたちが、お客様からの調査依頼対応やインシデントハンドリングの中から得たセキュリティ専門家としての知見を、すぐに業務に活かせる形で提供してまいります。今回から 2回にわたり、外部からの脅威侵入経路の 1つ、電子メール経由での侵入のリスクを減らす設定について考えます。Part1 の今回は前提となるメール攻撃の実情とセキュリティ対策製品による対策のまとめ、そしてリスクを減らす設定の 1つとしてフリーメールアドレスからの受信制限について説明します。
■攻撃手段としてのメール
メールは、不正プログラムやフィッシング詐欺サイトへの誘導など、さまざまなサイバー脅威の入口となっています。攻撃者にとってメールは攻撃対象や実行のタイミングを自由にコントロールできる扱いやすい攻撃方法であり、メールを使用した攻撃は後を絶ちません。現在、メールによる攻撃手法は、不特定多数を狙うスパムメールと攻撃対象を限定した標的型メールに二分されています。このスパムメール、標的型メール、どちらにも受信者をだまして添付ファイルや本文内の URL を開かせるための「だましの手口」が含まれています。
ただし、不特定に送信されるスパムメールはやはり「数撃てば当たる」レベルのだましの手口になっており、比較的受信者が「不審なメール」と気付きやすいものになっています。また、同内容のメールが大量に出回るため、内容などの特徴からフィルタリングできることも多くなります。しかし、攻撃対象を限定した標的型メールでは内容は巧妙になり、ほとんど不審なメールとは気付けないものになってきています。例えば、受信者の業務関連のメールを偽装した内容のものや、特に巧妙な手法として質問などのメールから数度のやり取りを繰り返した後に攻撃を行う「やり取り型」などが確認されています。
先日発生した日本年金機構の情報漏えい事例でも、標的型メールによる不正プログラム侵入を契機とした遠隔操作による被害であることが公表されています。攻撃者は法人の持つ個人情報などを狙う攻撃で標的型サイバー攻撃の手法を駆使してきており、現在ではどのような組織でもこのような巧妙な標的型メールによる攻撃を受ける可能性が高まっています。
■不審なメールを検出する手段
エンドポイントでの受信時やゲートウェイで、不審なメールをフィルタする、不正な添付ファイルを検出するなどの機能を提供するセキュリティ対策製品を導入していない組織はほとんどないのではないでしょうか。セキュリティ対策製品では、主に以下の 3つのポイントで「不審なメール」を判定しています。
- 添付ファイル:
- メール本文:
- 送信元:
攻撃者はメールに不正プログラムを添付して送り込み、受信者に開かせようとします。メールの添付ファイルをウイルス検索する、サンドボックスで解析するなどの方法で不正プログラムかどうかを判定します。当然不正なプログラムが添付されているメールは攻撃メールであると考えられます。
不特定多数を狙うスパムメールでは同一内容のメールが何万通と送られます。多くのスパムメールフィルタリング機能では、特定のキーワードが本文中にどれだけ含まれているかを判定基準としていました。また、本文中に含まれているURLがフィッシング詐欺サイトや脆弱性を攻撃するサイトなどの不正サイトであった場合、そのメール自体も不正なものであると言えます。
スパム業者は大量のスパムメールを同一のメールサーバから送信することが多いため、スパム業者が使用する送信元を「ブラックリスト化(RBL=Realtime Blackhole List)」して判定することも有効です。さまざまなセキュリティ団体が RBL を作成し共有しています。また、大量の送信を伴わない標的型メールについても、送信元の信頼性を評価し判定する方法もあります。
このように、セキュリティ対策製品は、多くの不審なメールをフィルタリングし、添付ファイルを検出しますが、攻撃者はそれをすり抜けるような攻撃を考え、実行します。特に標的型メールにおいては、手段は巧妙になります。標的型メールで不正プログラムを添付する場合、攻撃対象のセキュリティ対策製品を事前に調べ、検出対応されていないことを確認した上で攻撃が行われます。不特定多数に対して送信されるスパムメールでも検出未対応の不正プログラムが使われることがありますが、同じものがインターネット上に複数出回るため、検出対応が速やかに行われすぐにフィルタリング可能になります。しかし、標的型メールは攻撃対象を絞っているため、受信者が気付かなかった場合には全く検出対応が行われない可能性すらあります。メール本文や送信元の情報も同様です。事前に入手した業務のメールの本文を使用する、組織内の人間や外部の正規メールアドレスを使用するなどの手段でフィルタリングを免れようとします。
■フリーメールアドレスからのメールを制限するだけで、標的型メールのリスクが 9割ダウン?
このように攻撃者の巧妙な手口によりシステムによるフィルタリングをすり抜け、受信者の手元に届く攻撃メールは存在し、被害に遭う事例は現実に後を絶っていません。しかし、自組織内におけるメールの使用方法を見直し、自由なメールやり取りを設定で制限することで「危険度の高い」添付ファイルやメールをフィルタリングすることが可能です。その 1つがフリーメールアドレスからの受信を制限することです。
2014年の警察庁の発表では、標的型メールのおよそ 7割にあたる 66%で送信元がフリーメールアドレスだったことが確認されています。また、IPA による同様の発表では、全体の 86%とほぼ 9割がフリーメールとなっています。先にあげた日本年金機構の事例でも標的型メールの送信元はフリーメールアドレスだったと報道されており、最新の攻撃でもこの傾向は続いていると言えます。攻撃者はメール送信元偽装の手間をかけるより、正規のフリーメールサービスから送信することの方が、フィルタリングされる可能性を低減できると考えているのかもしれません。また、メールの送信者表示は ”送信者氏”<メールアドレス> のような書式によりメールアドレス自体を目立たせないようにすることができるため、受信者がフリーメールアドレスからのメールと気づけいていないのが実情かもしれません。
図1:筆者のメールアドレスに届いていたスパムメールの例(Outlookで表示)
「差出人」フィールドの表示には、「顧客管理担当」などと表示されており、メールアドレスを一目では確認できない
これらの傾向から考え合わせると、フリーメールアドレスからのメールをブロックするだけで標的型メールのリスクを大幅に低減できる、と言えます。実際の業務の中でフリーメールアドレスからのメール受信が必要なのは、個人事業主の取引先や広く個人利用者とやり取りする場合くらいではないかと推察します。自組織の業務の中でフリーメールアドレスからのメール受信が本当に必要かどうかを精査し、必要が認められる部署や担当以外のフリーメール受信は制限する設定を行うとよいでしょう。上記のフリーメールが使用される割合から言えば、メールサーバやセキュリティ対策製品の設定でフリーメールアドレスからのメールを警告する、もしくは受信しない設定を行うことにより、すぐに 7~9割近くの攻撃をフィルタリングし、組織内の利用者を守ることが出来ることを意味します。具体的な設定方法は使用する製品によって変わりますが、メール送信元ドメインの指定や経由メールサーバなどの条件でメールの受信を拒否する、警告するなどの設定は、ほとんどのメールサーバやセキュリティ対策製品において可能です。
当然、より巧妙な標的型サイバー攻撃では上記の設定があることを察知し、フリーメールアドレスの使用を避けて標的型メールを送信してくることになるでしょう。しかし、標的型サイバー攻撃対策の基本の 1つには「攻撃者の自由にさせない」ことがあります。攻撃者にとってはよりやりやすい攻撃であるフリーメールアドレスからのメール送信を封じられることだけでも攻撃者は攻撃のやり難さを感じます。単純に個人情報を狙うようなレベルの場合には、攻撃を躊躇してくれる可能性もあります。このようなセキュリティレベルを高める設定の積み重ねが標的型サイバー攻撃対策においては重要な意味を持ちます。
では今回のポイントをまとめてみます。
- 攻撃者にとってメールは無くてはならない攻撃手段となっている
- メールによる攻撃には、不特定多数を狙うスパムメールと攻撃対象を絞った標的型メールがあり、標的型メールではさまざまなセキュリティ対策をすり抜け受信者をだますための手口がより巧妙になっている
- メールの使用法を再考し、制限を設定することでメール経由の侵入リスクを抑えられる
- フリーメールアドレスからのメールを受信制限することでリスクを大幅に低減できる
次回は、メールの制限設定によるリスク低減策Part2 として、添付ファイルに対する制限についてまとめます。
■トレンドマイクロのソリューション
法人のお客様向けに特に手厚いサポートサービスを提供する「トレンドマイクロプレミアムサポート」では、お客様の環境を把握したカスタマーサービスマネージャーが、ご使用の製品についてよりセキュリティレベルを高めるための設定方法などをサポートいたします。
「InterScan Messaging Security Virtual Appliance™」など、トレンドマイクロのメールセキュリティ製品では、設定によりフリーメールアドレスからのメール受信を警告、ブロックすることが可能です。また、特定の受信者には受信を許可するような設定も可能ですので、業務の都合にも柔軟に対応できます。
※執筆協力:トレンドマイクロ・プレミアムサポートセンター、リージョナルトレンドラボ、ストラテジックプロダクトチーム、ファウンデーションプロダクト部