IIJAウェビナーキャッチアップ：今一度見直したいメールセキュリティ

こんにちは、IIJA Webinar 事務局です。　

2022年2月17日に開催したIIJAウェビナー：今一度見直したいメールセキュリティ をキャッチアップしました。　

メールのセキュリティ対策はもう実施済み！であっても、フィッシングメールやビジネスメール詐欺、さらにはランサムウエア被害が大きくなる一方の今、ぜひ本ブログを参考にしてみてください。

本ウェビナーでは、昨今の脅威メールがどのような攻撃を行うのか、IIJのクラウド型統合メールセキュリティサービス：IIJセキュアMXサービスを使って、どのような対策ができるのかをご紹介しました。

どんな脅威メールが出回っている？

1．フィッシングメール

「フィッシング」とは、実在する組織・人をかたって、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です。

―2020年のVerizonによるData Breach Investigation Reportは、ソーシャルエンジニアリングを使った脅威攻撃の96％はEmailからはじまっており、そのEmailのほとんどがフィッシングメールと報告しました。

―2020年12月のフィッシング対策協議会のレポートからも、2020年1月～12月にかけて右肩あがりでフィッシング報告件数が増えていることがわかります。

講師のメールボックスに届いた、ある大手クレジットカード会社(をかたっている・・)からのメールを開いてみると、本文内にクリックを促すURLが記載されています。このURLのドメインですが、一見するとカード会社のドメインに見えますが、最後になにやら文字列がくっついています。ちょっとおかしい。。

このメールを別の角度からチェックしてみると、実は「送信ドメイン認証」に失敗していました。本来のカード会社のドメインとは別のメールサーバーから送信された「なりすまし」メールであり、本文中のURLをクリックするとフィッシングにひっかかる・・というものでした。

2．Microsoft Officeファイルを添付したメール

2019年のVerizonのData Breach Investigation Reportによると、マルウエアの感染経路は圧倒的にEmail経由であるという結果で、全体の94％を占めました。

では、どのようなファイルタイプがマルウエアとして使われるか、というと、一番多かったのがMicrosoft Officeファイルです。これらのファイルのマクロ部分にマルウエアを仕込んだり、ダウンロードを促す危険なコードを埋め込むことで攻撃を仕掛けてきます。

3．BECメール

BECとは「Business Email Compromise」の略で、詐欺メールの1つです。

アメリカFBIの情報によると、BEC被害額は毎年うなぎのぼりに増加し、2020年は1.8憶ドルの被害が報告されています。大手航空会社、政府、投資ファンドのBEC被害についてニュースでも報道されました。

BEC攻撃の1例を紹介します；

本社担当者になりすましたメールが、支社の経理担当に送信されてきて「本社の支払い口座が変更になりました。支払いはこちらへ。」と、これまでとは異なる口座への送金を依頼されます。

本社だというメールの送信元を疑うことなく、うっかりと指定の口座に支払額を振り込んでしまってから、本物の本社担当者から振り込みがないという確認が来て、その口座が攻撃者のものだったとわかる。。というものです。

4．ランサムウエアの発端となるメール

脅威メールの実例の最後に、ランサムエアを紹介します。

ランサムウエアは、身代金 (Ransom) とソフトウェア (Software) が組み合わせさった造語です。ウイルスをさしますが、感染するとPC上のデータが勝手に暗号化されてしまい、復旧したかったら身代金を支払えと脅迫されます。

ランサムウエアとしては、ワナクライ (WannaCry) が有名ですが、2020年後半にはラグナロッカー (Ragnar Locker) というランサムウエアによる大きな被害がありました。ラグナロッカーに感染すると、犯行声明が表示され、身代金を払うようにという脅迫と、詐取したデータをインターネットに公開するぞという2重の脅迫を受けます。

ランサムウエアの侵入経路としてはEmailが最も多く、Email本体にダウンローダーを仕込んだファイルを添付したり、メール本文にダウンロード用のリンクを記載します。ラグナロッカーが仕込まれたファイル形式には多々ありますが、有名なのはMicrosoft OfficeのワードやPDFで、マクロ・スクリプトが利用されます。

さらに、2021年に起きたアメリカのコロニアルパイプラインの攻撃で使われたのがダークサイド (Darkside) です。ダークサイドもマルウエアの1つですが、RaaS (Ransomware as a Service) を使っていること、データを暗号化し、復号化するための身代金として仮想通貨 (BitCoin) を要求すること、詐取したデータの暴露の示唆、さらにDDoS攻撃が付け加えられたことが特徴です。

３＋１の脅威メール対策

上記で紹介した数々の脅威メールへの対策はどうしたらよいのでしょうか？　

IIJが提供するクラウド型統合メールセキュリティサービス：IIJセキュアMXサービスを活用した３つの対策とプラスワンの対策を紹介しました。

1. 送信ドメイン認証の活用

2. 複数ベンダー技術の多段アンチウイルス・アンチスパム

3. マクロ除去によるOffice ファイルの無害化

4. プラス、組織的な対策！

送信ドメイン認証フィルタ

「送信ドメイン認証」は耳慣れない言葉かもしれませんが、なりすましを見抜くテクノロジーです。

フィッシングも、BECも、なりすましがあってこそ成り立つので、なりすましを検知する技術を使って対策することをおすすめします。

IIJセキュアMXサービスでは「送信ドメイン認証フィルタ」を利用することで対策できます。送信ドメイン認証フィルタは、送信ドメインを検証し、詐称されているかを検知します。詐称を検知すると、対象メールを隔離する、件名に文字列を追加して配送する、拒絶する (受け取らない) というアプローチを選択できます。

多段技術で検知率アップ

続いて、複数のウイルス対策製品を多段に使って脅威メールの検知率をアップしましょう！というご提案です。

1社の製品だけでは「止められるウイルスが限られてしまう」というのが現実です。

アンチウイルスの技術とは、セキュリティベンダーがウイルスの検体を取得して、パターンファイルをデータベースに登録することで、登録されているウイルスと同じウイルスを検知するものです。どんな製品であっても、1社の製品がすべてのウイルスをカバーできるわけではありません。製品毎にカバー範囲や対策されるタイミングが違うので、複数の製品を重ねる (多段にする) ことで、カバー範囲をひろげてタイムリーに検知率をアップすることができます。

IIJセキュアMXサービスは複数のアンチウイルス製品を多段で使っています。たとえば、1社のアンチウイルスでは検知できなくても、他社のアンチウイルスで検知できれば、サービス全体としては「検知できた」ことになります。これが多段のアンチウイルスを使うメリットです。

スパムも同様に、多段でアンチスパム技術を使っています。アンチスパムのエンジンも各社それぞれアプローチが違っています。さらに、インターネットサービスプロバイダーであるIIJは、独自のバックボーンネットワークやマネージドセキュリティサービスを提供しています。そして、そこで収集される様々な新しい脅威情報と独自の対策をIIJセキュアMXサービスに反映しています。

マクロウイルスの無害化

Microsoft Officeのファイル (ワード、エクセル、パワーポイント) およびPDFは、ビジネスで多く利用されますが、これらのファイルからマルウエアが持ち込まれます。マルウエアの運び屋はマクロウイルスが一番多いです。

こういったビジネスファイルを「無害化」するフィルタを使い、新種の危険なマルウエアが含まれるマクロ部分を非武装化して安全なファイルに変える技術がマクロ除去フィルタで、このフィルタの利用を3つめの対策としておすすめします。

マクロ除去フィルタは、ファイルにマクロがついているかどうかを検知し、次の動作を指定できます。ファイルからマクロを除去する、を選ぶことでファイルを非武装化することができます。

数年前に流行したエモテット (Emotet) ウイルスは、マクロ付きワードファイルとして配布されました。マクロ除去フィルタを使うことで、こういったマクロを使ったウイルスを一網打尽にすべて無害化することができます。

ローテク：組織的な対策

最後に、IIJセキュアMXサービスでの対策ではない、組織的な対策について触れます。こちらは各組織での対策実行が必要です。

BEC詐欺に備えるために、2点、対策を検討することができると思います。

1つ目は、技術的なことではないですが、社内プロセスの中で振り込み時は必ず2人以上の署名・承認を必要にするフローにすること。

2つ目は、従業員への教育・訓練です。詐欺の手口を知っていることで、あれ？と気づきやすくなる、また、第3者へ相談ができるようになるのではないでしょうか。

まとめ

IIJセキュアMXサービスでできるおすすめの脅威メール対策です。

ご紹介した対策が本サービスだけで対応できます！

IIJセキュアMXサービスはSaaS/クラウド型のサービスです。

既存で利用されているメールシステムに「付け加えて」ご利用いただけます。メール受信時の機能と、メールを送信する時の機能と、本当にたくさんの機能があります。さらに、多彩なオプション機能を任意で追加してご利用いただくことができます。

現在、IIJセキュアMXサービスは、日本国内シェアNo.1！グローバルも含め、多くのお客様にご利用頂いています。IIJ セキュアMXに関するご質問やご相談は、いつでもご気軽にWebフォームからお問合せください。お待ちしております。

最後までお読みいただきまして、ありがとうございました！

ウェビナー講師

久保田 範夫

株式会社インターネットイニシアティブ

ネットワーク本部

サービス推進部　シニアエンジニア

IIJ Americaでは、毎月様々なトピックを取り上げてウェビナーを開催しています。

IIJ America ニュースレターへご登録いただくと、ウェビナー開催のお知らせをお届けします。

ニュースレターご登録はこちらから！