いまさら聞けない標的型攻撃メールの手法とその対策とは?

IT・IT製品TOP > Key Conductors > 寺下 理恵(バラクーダネットワークスジャパン株式会社) > いまさら聞けない標的型攻撃メールの手法とその対策とは?
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

いまさら聞けない標的型攻撃メールの手法とその対策とは?

エンドポイントセキュリティ 2018/03/13

 2016年6月に発覚した大手旅行代理店の不正アクセスによる個人情報流出、「約680万件の個人情報が流出」したというニュースを覚えていますか? この不正アクセスにより、氏名、性別、生年月日、メールアドレス、住所のみならず、約4300件ものパスポート番号まで流出した可能性があると発表され、非常にインパクトのあるニュースでした。

 この個人情報の流出の原点は、職員がメールの添付ファイルをクリックしたことによるウイルス感染から被害が拡大し、外部からの不正アクセスが行われる事態となりました。この感染元となったメールですが、「航空券控え 添付のご連絡」という件名からはじまり、ごくごく普通のありがちな日本人の苗字と、実在する国内航空会社を名乗るドメインを使ったメールアドレスから送信されてきました。そして、添付ファイルは「北京行きのEチケット」というファイル名のPDFのファイルが添付されており、旅行業務を取り扱う企業の業務内容まで把握された、巧みな標的型攻撃メールでした。

 キーマンズネット会員の皆さまでしたら、「そんな標的型攻撃メールに引っかかることはない」と感じていらっしゃる方も多いかと思いますが、実際には標的型攻撃メールは非常に巧妙に仕掛けられています。2015年の年金機構の個人情報流出のニュースの際、立命館大学の上原哲太郎先生が、7年ほど前に実際にご自身が受信されたメールのサンプルをツイートしていました。もしこういった業務に携わる一般ユーザーなら、思わず添付ファイルをクリックしてしまうのではないでしょうか。

上原先生のツイート(2015年6月3日)

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

上原先生のツイート(2015年6月3日)

https://twitter.com/tetsutalow/status/605864385265819648

 IPAも2015年1月、「標的型攻撃メールの例と見分け方」というレポートを作成し、サンプルメール例を見せながら、標的型攻撃メールを見分ける手法を、一般ユーザーでも理解しやすく紹介しています。ではシステム管理者の立場から、標的型攻撃メールの脅威から、社内システムをセキュアに守る方法は、どのような対策がとれるのでしょうか。

標的型攻撃メールはウイルス対策だけでは不十分

標的型攻撃メールとウイルスメールの違い

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

標的型攻撃メールとウイルスメールの違い

 標的型攻撃メールは、ウイルスメールのように不特定多数に送りつけられるわけではなく、そのターゲットを絞り込んだ上でメール配信されるのが一般的です。企業や組織の特定部署宛に送信される場合は、実在のその企業や組織内に存在する人物になりすまして、メールが送信されてくる場合もあります。

 そのため拡散されるウイルスと比較すると、「ウイルス」として攻撃が認識され、ウイルス対策ベンダーによる定義ファイルの作成や配布に至るまでのサンプル数が少ないことが特徴です。結果としてウイルス対策製品をかいくぐり、受信者の元にメールが届き、ソーシャルエンジニアリングを悪用して感染に至ることが大半と言えるでしょう。

 メールゲートウェイサーバや各クライアントにインストールされたウイルス対策製品でも、標的型攻撃メールを検知することは困難です。今回の事件のように、知らないうちに情報が流出していたという自体を防ぐためには、メールのウイルス対策だけではなく、標的型攻撃メール対策も必要です。今回は、「Barracuda Email Security Gateway」のATP(Advanced Threat Protection)機能を例に挙げて、標的型攻撃メールに対する対策手法をご紹介しましょう。

クラウドベースの標的型攻撃メール対策

ATP機能(Advanced Threat Protection)による標的型攻撃対策

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

ATP機能(Advanced Threat Protection)による標的型攻撃対策

 Barracuda Email Security GatewayのATP機能による標的型攻撃メール対策機能では、アプライアンス上の仮想サンドボックスで添付ファイルスキャンを行わず、クラウドプロテクションレイヤ(CPL)と呼ばれる、クラウド上で一旦スキャンを行い、正常なメールをアプライアンスへ配送します。

 送信されたメールは直接、Barracuda Email Security Gatewayが受信せず、一旦CPL上でメールを受信し、そこでスパム、ウイルス、ATPのチェックを行います。この機能を利用すると、バラクーダネットワークスから専用のMXレコードが付与され、メールの受信時は、DNSサーバのMXレコードを利用してMXレコードの最優先に設定することで、すべての受信メールを一旦CPL上で受信します。

 そこでATP機能によるハッシュデータベースによるスキャンを行い、標的型攻撃と思われるメールのエミュレートを実施し、疑わしいメールの受信を拒否する仕組みとなります。すでにBarracuda Email Security Gatewayをご利用中のお客さまの場合、新たに専用機器やモジュールを追加することなく、ATP機能を利用することで、機器に余計な負荷をかけずに、最新の脅威からメールによる標的型攻撃を保護することが可能です。

 世間を賑わす不正アクセスによる個人情報流出ニュースは、システム管理者のみなさんにとっても、今一度、自社のセキュリティ対策を見直すきっかけになるのではないでしょうか。この機会に、既存のシステム環境を有効活用した、標的型攻撃対策を検討されてみてはいかがでしょうか。

参考資料:
(動画)クラウドベースサンドボックス機能を搭載したBarracuda Advanced Threat Protectionとは?:https://youtu.be/Z1snWObDd5Y
Barracuda ATP ホワイトペーパー:http://www.barracuda.co.jp/cms/pdf/Barracuda_ATP_WP_201706.pdf

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30010164


IT・IT製品TOP > Key Conductors > 寺下 理恵(バラクーダネットワークスジャパン株式会社) > いまさら聞けない標的型攻撃メールの手法とその対策とは?

このページの先頭へ

キーマンズネットとは
2008年バラクーダネットワークスジャパン株式会社に入社。シニアプリセールスエンジニアとして、企業・自治体を中心にネットワークセキュリティ・アプリケーションデリバリ・データ保護ソリューションを提案。2013年よりプロダクトマーケティングマネージャーに着任し、広報・SNSマーケティングを担当。千原兄弟のファン。

ページトップへ