オルタナティブ・ブログ > いまさら聞けないIT対策と手法とは? >

システム管理者必見!いまさら聞けないITの話をサルでもわかる?ようにご紹介します

いまさら聞けない標的型攻撃メールの手法とその対策とは?

»

2016年6月に発覚した大手旅行代理店の不正アクセスによる個人情報流出、約680万件の個人情報が流出したというニュースを覚えていますか? この不正アクセスにより、氏名、性別、生年月日、メールアドレス、住所のみならず、約4300件ものパスポート番号まで流出した可能性があると発表され、非常にインパクトのあるニュースでした。

この個人情報の流出の原点は、職員がメールの添付ファイルをクリックしたことによるウイルス感染から被害が拡大し、外部からの不正アクセスが行われる事態となりました。この感染元となったメールですが、「航空券控え 添付のご連絡」という件名からはじまり、ごくごく普通のありがちな日本人の苗字と、実在する国内航空会社を名乗るドメインを使ったメールアドレスから送信されてきました。そして、添付ファイルは「北京行きのEチケット」というファイル名のPDFのファイルが添付されており、旅行業務を取り扱う企業の業務内容まで把握された、巧みな標的型攻撃メールでした。

オルタナティブ・ブログの読者の皆さまでしたら、「そんな標的型攻撃メールに引っかかることはない」と感じていらっしゃる方も多いかと思いますが、実際には標的型攻撃メールは非常に巧妙に仕掛けられています。2015年の年金機構の個人情報流出のニュースの際、立命館大学の上原哲太郎先生が、7年ほど前に実際にご自身が受信されたメールのサンプルをツイートしていました。もしこういった業務に携わる一般ユーザーなら、思わず添付ファイルをクリックしてしまうのではないでしょうか。

001.jpg

IPAも2015年1月、標的型攻撃メールの例と見分け方というレポートを作成し、サンプルメール例を見せながら、標的型攻撃メールを見分ける手法を、一般ユーザーでも理解しやすく紹介しています。ではシステム管理者の立場から、標的型攻撃メールの脅威から、社内システムをセキュアに守る方法は、どのような対策がとれるのでしょうか。

標的型攻撃メールはウイルス対策だけでは不十分

002.jpg

標的型攻撃メールは、ウイルスメールのように不特定多数に送りつけられるわけではなく、そのターゲットを絞り込んだ上でメール配信されるのが一般的です。企業や組織の特定部署宛に送信される場合は、実在のその企業や組織内に存在する人物になりすまして、メールが送信されてくる場合もあります。

そのため拡散されるウイルスと比較すると、「ウイルス」として攻撃が認識され、ウイルス対策ベンダーによる定義ファイルの作成や配布に至るまでのサンプル数が少ないことが特徴です。結果としてウイルス対策製品をかいくぐり、受信者の元にメールが届き、ソーシャルエンジニアリングを悪用して感染に至ることが大半と言えるでしょう。

メールゲートウェイサーバや各クライアントにインストールされたウイルス対策製品でも、標的型攻撃メールを検知することは困難です。今回の事件のように、知らないうちに情報が流出していたという自体を防ぐためには、メールのウイルス対策だけではなく、標的型攻撃メール対策も必要です。今回は、Barracuda Email Security GatewayATP(Advanced Threat Protection)機能を例に挙げて、標的型攻撃メールに対する対策手法をご紹介しましょう。

クラウドベースの標的型攻撃メール対策

003.jpg

Barracuda Email Security GatewayのATP機能による標的型攻撃メール対策機能では、アプライアンス上の仮想サンドボックスで添付ファイルスキャンを行わず、クラウドプロテクションレイヤ(CPL)と呼ばれる、クラウド上で一旦スキャンを行い、正常なメールをアプライアンスへ配送します。

送信されたメールは直接、Barracuda Email Security Gatewayが受信せず、一旦CPL上でメールを受信し、そこでスパム、ウイルス、ATPのチェックを行います。この機能を利用すると、バラクーダネットワークスから専用のMXレコードが付与され、メールの受信時は、DNSサーバのMXレコードを利用してMXレコードの最優先に設定することで、すべての受信メールを一旦CPL上で受信します。

そこでATP機能によるハッシュデータベースによるスキャンを行い、標的型攻撃と思われるメールのエミュレートを実施し、疑わしいメールの受信を拒否する仕組みとなります。すでにBarracuda Email Security Gatewayをご利用中のお客さまの場合、新たに専用機器やモジュールを追加することなく、ATP機能を利用することで、機器に余計な負荷をかけずに、最新の脅威からメールによる標的型攻撃を保護することが可能です。

世間を賑わす不正アクセスによる個人情報流出ニュースは、システム管理者のみなさんにとっても、今一度、自社のセキュリティ対策を見直すきっかけになるのではないでしょうか。この機会に、既存のシステム環境を有効活用した、標的型攻撃対策を検討されてみてはいかがでしょうか。

Comment(0)