標的型メール攻撃への対応、サンドボックスを超える次なる一手とは?

特定の企業や組織を狙い撃つ「標的型メール攻撃」が急増している。その被害は一企業にとどまらず、取引先や社会全体にも多大な影響と損失を与えてしまう。そこで多くのベンダーが対策ソリューションを提供しているが、その主流となるのはサンドボックス型。ただし、最近ではこうした対策の網の目をくぐる新手の攻撃も多い。そこで必要とされているのが、サンドボックスを超える次なる一手。添付ファイルの無害化に加え、ユーザー自身に気づきを与える「目視確認」を組み合わせた対策手法には、どのようなメリットがあるのだろうか?

サンドボックスやふるまい検知でも防げない手口が増加

株式会社クオリティア 営業本部 ソリューション営業部 部長 辻村 安徳氏
株式会社クオリティア 営業本部 ソリューション営業部 部長 辻村 安徳氏

不正プログラムを仕込んだ添付ファイルやURLをユーザーに疑念を抱かせずにクリック(実行)させるべく、標的型メール攻撃は年々手口を巧妙化させている。日本でもその被害は深刻さを増しており、2017年3月23日に発表された警察庁の広報資料(※)によれば、警察が連携事業者から報告を受けただけでも4046件と3年連続で過去最大を記録している。

「標的型メール攻撃で、現在対策の主流となっているのがサンドボックスです。サンドボックスは“攻撃されてもよい環境”をあえて作り、その中で怪しいファイルを隔離した上で動作させ、実行される振る舞いを詳細に分析します。しかしサンドボックスが対処できるのは暗号化などが行われていない生ファイルであることが前提です。最近は攻撃側も知恵を働かせ、生ファイルに不正な実行ファイルを添付するのではなく、ZIPパスワードや読み取りパスワードをかけ、一見普通のビジネス書類に見せかけてOfficeファイルやPDFファイルを添付する手口が増えています。こうした攻撃はサンドボックスやふるまい検知でも防ぐことができません」と語るのは、クオリティアの辻村 安徳氏だ。

標的型攻撃に有効な手段と考えられているサンドボックスでさえ「もはや安心ではない」と言い切る辻村氏。ならば、どのような手段が残されているのだろう。

「怪しい添付ファイルを分離してダウンロードさせないこと、そして人の目による確認という新たな対策が有効です。2017年3月にリリースした『Active! zone』最新版は、他社にはない独自機能によって、エンタープライズや教育・研究機関に、より強固な標的型メール攻撃対策を提供しています」(辻村氏)

※ 平成28年におけるサイバー空間をめぐる脅威の情勢等について


自治体への導入で高い導入率を誇るソリューション

もともとActive! zoneは2016年6月に、当時の大規模情報漏えい事件やマイナンバー制度の施行などを背景に、総務省が主導した自治体のセキュリティ強靱化計画を支援するために開発された「メール無害化ソリューション」を進化させた製品である。ちなみにメール無害化とは、安全なメール環境を実現するために総務省が求めた対策基準で、感染リスクの高いメールをイントラネットに取り込まない機能を実装した製品がそれに当たる。

「Active! zoneは当初から添付ファイルの無害化やHTMLメールのテキスト変換、URL文字の無害化に加え、スパム対策、ウイルスメール対策など数多くの無害化機能を実装していました。その後、マクロ除去、添付ファイルの画像化などを追加した強化版をリリースし、現在までに37都道府県350自治体への導入実績を誇っています」と辻村氏は説明する。

これだけの自治体に採用された背景には、クオリティアの営業やSEが実際に全国津々浦々の自治体に足を運び、エンドユーザーが求める機能や操作性などを随時フィードバックして利便性を向上させてきたことがある。実効性の高いメール無害化対策としての大きな信頼感があるのはそうした地道な努力の結果だ。

「このソリューションを自治体だけでなく、標的型攻撃へのさらなるセキュリティ強化を望んでおられるエンタープライズのお客様にもぜひ提供していきたいと考えました。そこで2017年8月末にエンタープライズ向けの新機能も含めて強化・拡充した最新版をリリース予定です」と辻村氏は語る。

図:標的型攻撃を直感的に判断できる「Active! zone」構成例

図:標的型攻撃を直感的に判断できる「Active! zone」構成例

[画像のクリックで拡大表示]


エンタープライズ向けの新機能を実装

エンタープライズ向けに強化された機能の中でも特筆されるのが、「添付ファイル分離/ダウンロード」と「送信元の国名表示」という2つの機能だ。

ZIPパスワード、読み取りパスワードの解除もActive! zone内で可能

ZIPパスワード、読み取りパスワードの解除もActive! zone内で可能

[画像のクリックで拡大表示]

「送信元の国名表示」機能ではメールの経由国を国旗で表示

「送信元の国名表示」機能ではメールの経由国を国旗で表示

[画像のクリックで拡大表示]

「添付ファイル分離/ダウンロード」機能では、まず受信した添付ファイルをメール本文と切り離してActive! zone上の安全領域に格納し、それをユーザー自身が画像として確認。これで正当なファイルかどうかを判断する。ZIPパスワード付きファイルはActive! zone上でそのまま解凍して中身をプレビューできるほか、PDFなどの直接読み取りパスワードの解除にも対応するため利便性が高い。ユーザーが「必要だ」と判断しローカルへダウンロードする際も、「原本のまま」「マクロを除去」「画像化」「PDF化」などが選択できるため、最後までセキュリティを最大限に保てるのが特長だ。

「すべてのメールはActive! zone上でまずメールと添付ファイルが分離されます。ユーザーに届くメールには、本文の先頭にワンタイムURLが挿入されていますので、そこをクリックして格納ファイルにアクセスし、中身を画像化して確かめる仕組みです。ファイルの中身を確認できれば、何もマルウエア感染のリスクを負ってまでダウンロードする必要はないと私たちは考えたのです」と辻村氏は指摘する。

「送信元の国名表示」も、怪しいメールを直感的に判断できるユニークな機能だ。添付ファイルのプレビュー画面で、そのメール自体がどこの国を経由して届いたメールなのかを国旗を使って表示する。国旗にマウスオーバーすると、国名とReceivedの情報を表示。複数国を経由していれば標的型メール攻撃の可能性が高いと判断できるため、ITリテラシーがあまり高くないユーザーも一目で判別できるという。

「基本的に日本から日本に送られるメール(例:co.jpからco.jp、ne.jpからco.jpなど)では日本以外の国名が出てくることはほとんどありません。Office 365やG Suiteなど米国のクラウドを活用したサービスの場合も、日本と米国2つの国旗が並ぶ程度です。しかし先日、当社に着信したあるメールにはリトアニア、タンザニア、ザンビアといった複数の経由国の国旗がズラリと並び、一目で“これは怪しい”と判断できました。実際に添付されていたファイルはマルウエアでした。この機能のデモをお客様にお見せすると必ず“これはいい! 本当にわかりやすい”と喜んでいただけます」と辻村氏は笑顔を見せる。

基本機能としてのマクロ除去に加え、こうした人の目による直感的な判断が、ITリテラシーの高低に依存しない、感染リスクの軽減につながるのである。当然それはセキュリティ教育にかかる時間やコストの低減にもつながるだろう。

「Active! zoneを導入された企業様には、画像化した添付ファイルでダウンロードの要不要を判断すること、経由国に並んだ国名が日本以外に2つ以上あったら怪しいと思うこと、これだけをユーザーに徹底させてくださいとお願いしています。非常にシンプルな方法ですが、年々巧妙化する手口に対処するためには“何かおかしい”と誰でも自然に判断できる機能や視点を加えることが効果的なのです」(辻村氏)


大企業でも中堅中小企業でも柔軟に導入できる汎用性

またActive! zoneは、大企業でも中堅中小企業でも柔軟に導入できる汎用性と、コストパフォーマンスの高さでも競争力を持っている。

フローチャート表示で、受信ポリシーも直感的に把握

フローチャート表示で、受信ポリシーも直感的に把握

[画像のクリックで拡大表示]

例えば、既にアンチウイルス/スパムやサンドボックスのゲートウエイを導入している企業なら、その後段にActive! zoneを配置すればいい。まずは前段2つのゲートウエイで攻撃メールにふるいをかけ、ZIPパスワードや直接読み取りパスワードの付いたファイル添付のメールのみをActive! zoneに送り込めば、全体的なパフォーマンスと利便性を落とさない3段階のセキュリティ強化につなげることができる。

一方、これまで本格的なセキュリティ対策を行ってこなかった中小企業なら、Active! zoneを導入する際、オプションのアンチウイルス/スパム機能を付加し、オールインワンのセキュリティ対策サーバとして利用できる。「サンドボックスは非常に高価なソリューションとなるため、コスト面で導入を断念されている企業が少なくありません。しかしActive! zoneなら一般的なサンドボックスに比べ、ユーザー数に応じた価格体系によって10分の1程度で導入いただけます」と辻村氏は述べる。

このほかにもActive! zoneは、管理者が受信ポリシー(処理条件)の設定を視覚的に把握しやすいフローチャート表示で作成できることや、国産ベンダーならではのわかりやすいインターフェース、迅速できめ細かなサポート体制で既存ユーザーから評価が高い。

巧妙に仕組まれた標的型メール攻撃から企業を守る。Active! zoneは日本発のソリューションとして、あらゆる企業や組織の心強い味方となるはずだ。


お問い合わせ

株式会社クオリティア
TEL: 03-5623-2530
URL:http://www.qualitia.co.jp/inquiry/
メールでのお問い合わせはこちら
active@qualitia.co.jp