はじめに
「もしかしてこのメール、フィッシングではないだろうか…?」と疑ってしまうメールが、ここのところ毎日のように皆様のメールアカウントに届いているのではないでしょうか。
時に巧妙な文面のメールが届き、気づかずにURLを開こうとしてしまった…あるいはリンクを開いてしまったという方もいらっしゃるかもしれません。
「疑わしいメールが届いたらリンクや添付ファイルを開かないように」と指示を受けていても、仕事の流れでうっかり確認をしてしまった、という事も大いにあり得ます。
「とにかく、フィッシングメールに気を付けて」と言われても、私たちは人間です。常時完璧に気を付けていられるわけではありません。
私たちにはメールチェック以外にも仕事があり、繁忙期にはもう、それどころではなくなってしまいます。
それならば、フィッシングメールを検知し、事前に配信を止めてしまえばよいのではないか。そういった視点から、この記事を進めて参ります。
フィッシングメールを検知する方法
フィッシングメールを検知する機能を持つものとして、すぐに名前が挙がるのはメールセキュリティソフトでしょう。
最近のメールソフトには、フィッシング対策ツールを持ったものも増えています。これらの対策ツールは、どのようにフィルタリングメールを検知しているのでしょうか。フィルタリング対策ツールの挙動の例を以下にご紹介します。
- 受信したメールを既知のフィッシング攻撃の記録と比較し、疑わしいと判断されたメールを隔離
- 1はクリアしたが、過去に利用者によって疑わしいメールだとフラグを立てられたメールを隔離
- 既定の時間に、隔離メールがあることを、該当するメールアカウントに通知し、確認を依頼する
- メールアカウントの持ち主が隔離されたメールをチェックし、正しいメールだった場合は許可フラグを立てる
- 4の行動を基盤に、フィルタリング対策ツールは検知基準を再度調整する
多くのツールは、DMARC(Domain-based Message Authentication, Reporting & Conformance)というメール送信元のドメインを認証する技術を使用して、所持しているデータベースと受信したメールを照合して判別します。
そして、受信メールを送信者の完全な記録を持つデータベースと照合し、送信者に関する既知の情報と一致しない場合、そのメールは隔離、ないし、フラグを立てられます。
これらの機能を用いて、メールセキュリティシステムは、大量のスパム、危険なリンク、フィッシング攻撃の大部分をブロックします。
この機能が正常に動作していれば、同じ文面や似た文面を不特定多数に送るタイプのフィッシングメールは、ほぼ隔離されるでしょう。
しかし、スピアフィッシング(※1)タイプのメールは、固定のターゲットに送られます。ほぼ単一の受信先に送信されるため、DMARCや過去のフィッシングメール情報やフラグだけでスピアフィッシングを見破るのは困難といえます。そのため、学習能力が高く、スピアフィッシング攻撃を一通でも多く検知・隔離できる製品を選定する必要が出てきます。
※1:スピアフィッシングとは:特定の個人、企業、組織をターゲットにする手法です。攻撃者は標的を調査し、メールの内容を細部までカスタマイズして、ターゲットに信頼されるメールを作成します。
フィッシングによる被害を軽減するための取り組み
フィッシングメールをブロックするために、私たちはどのように製品を選定すべきなのでしょうか。ここではアイルランドのセキュリティ企業であるTitanHQ社が企業に公開している、フィッシングを阻止するための手法についてみていきましょう。
複数の機能を持ったメールセキュリティ製品を探す
アンチスパムやアンチウィルス・フィルターなどの従来型のメール・セキュリティ・ソリューションといった対策ではもはや十分とは言えません。
最も効果的なツールは、より進化したタイプの攻撃に対抗できる特定のフィッシング対策です。例を挙げるならばドメインスプーフィングチェック(※2)、なりすましに対する相互参照、疑わしい本文のフラグ立てなどがあります。
※2ドメインスプーフィングとは、攻撃者がEメールドメインを偽り、偽の証明書を用いてユーザーを欺こうとする行為です。
システムを常に最新の状態に保ち、パッチを常に最新のものに維持
フィッシング・メールで送りつけられるマルウェアの中には、システムの脆弱性を悪用するものが複数存在します。
システムが最新で、サービスの脆弱性をパッチで改善していれば、そのマルウェアを万が一起動してしまっても、被害を抑えられます。
クライアントデータの暗号化
機密情報を暗号化することで、サイバー犯罪者が不正にアクセスしても、盗み出したデータを利用することが難しくなります。
近年、国際規格や基準への遵守の流れもあり、コンプライアンスを維持するためにデータ暗号化は必要不可欠となっている業界もあります。
多要素認証(MFA)の有効化
MFA(二要素認証)とは、ログイン認証のステップに追加の要素を加えることです。
この対策をとることで、たとえ攻撃者が誰かのログイン認証情報を入手したとしても、追加の認証要素を要求されるため、ログインプロセスを完了できません。追加の要素とは、ユーザー自身のデバイスを使ってワンタイムパスワードを受け取ったり、ユーザー固有の指紋や網膜を使った認証などを指します。
バックアップの維持とテスト
現在、100%のセキュリティというものはこの世の中に存在しません。
そのため、万が一、攻撃を受けた場合の対策を検討しておく必要があります。例えば、バックアップと電子メールのアーカイブを毎日確実に行い、オフラインで保管しておくことで、社員を迅速に業務に復帰させ、顧客へ与える影響を最小限に抑えることができます。
参考URL:インシデント対応計画作成ガイド 2022年版
セキュリティトレーニングの実践
フィッシングに対処するためには、口頭の伝達だけでなく、実際に同業種で発生したインシデントを共有したり、eラーニング・シミュレーションを用いた体験型学習機能を用いたトレーニングも一つの方法です。これらのトレーニングを行うことで、人為的なミスや誤操作が引き起こすリスクを最小限に抑えることができます。
SpamTitanでフィッシングメールを検知・隔離する
続いて、実際の製品を使って、フィッシングメール対策がどのように行われているのかを見ていきましょう。
SpamTitanは、導入・設定がシンプルで多機能のメールフィルタリング製品です。
攻撃者からのメールをメールサーバーの手前でブロックすることができ、サーバーへのインストール、クラウド環境を選択できます。
SpamTitan はユーザーの操作傾向を常に学習し、なりすましを防止します。
リンクの書き換え
2022年より、SpamTitan Plusがリリースされ、Eメール本文に記載されたURLに対する対策ツールが追加されました。
ツールを有効化してEメールを展開すると、以下のようにURLが書き換えられます。
SpamTitan Plusは、URLをリアルタイムでチェックし、もしも危険なWebページであるという可能性があった場合は、以下の警告メッセージが表示され、Webサイトへの接続をブロックします。
このURLチェック機能は、AIを使用した予測分析や、電子メールの傾向が常に登録されていくDBを使っており、使えば使うほど、常に精度を高めていきます。
このWebサイトは安全であるという確証がある場合は、「Show more」から該当サイトへ飛ぶことも可能です。しかし、確証がないのであれば、基本的にはそれ以上進むことはお勧めできません。
メールサーバー到達前に隔離
SpamTitanの運用例は以下の通りになっています。
このように、会社の資産であるメールサーバーを守り、フィッシングメールやマルウェアが添付されたメールをSpamTitanでせき止めます。
メールフィルタ製品の性質上、メールサーバーへ届く攻撃を100%せき止めることはできませんが、負荷分散が可能です。
フィッシングの巧妙化をはじめ、サイバー攻撃の多様性はより増しています。
同時に、メールフィルタ製品を始めとするセキュリティ製品にも、常に進化が求められています。安定した運用に加え、常にブラッシュアップを続ける製品を選定する事は、フィッシング対策として、より有効な対策を打つことにつながります。
