Digital Arts News Watch

2017/08/03   
標的型攻撃    i-FILTER    m-FILTER   

標的型攻撃メールの“偽装”を正確に見破る「m-FILTER」Ver.5

標的型攻撃メールの“偽装”を正確に見破る「m-FILTER」Ver.5

標的型攻撃の98%はメール経由で感染

前回『今、最も実効的な標的型攻撃対策として注目を集めている「クライアント端末の標的型攻撃対策」とは?』では、2017年9月19日にリリースされる「m-FILTER」Ver.5と「i-FILTER」Ver.10によって、クライアントの標的型攻撃対策の機能が飛躍的に強化されることを紹介しました。今回はこの両製品のうち、「m-FILTER」Ver.5に関する標的型攻撃対策機能について詳しく取り上げてみたいと思います。

「m-FILTER」は、国内において導入実績No.1を誇るメールセキュリティ製品です。メール誤送信によって引き起こされる情報漏洩を防ぐ機能や、強力なスパムフィルターによってスパムメールをフィルタリングする機能など、多彩なメールセキュリティ機能を持ちますが、9月19日にリリースされるVer.5では特に標的型攻撃を防ぐための機能が強化されています。

標的型攻撃の98%はメール経由で感染していると言われており、近年ますます猛威を振るう標的型攻撃から自社の情報資産を守るためには、標的型攻撃メールへの対策はもはや必須と言えます。では、具体的にどのような対策を打てばいいのでしょうか?

まず真っ先に行うべきは、受信したメールが「標的型攻撃メールか否か」を正確に判定することです。近年の標的型攻撃の手口はますます巧妙化の一途を辿っており、メールの内容を一見しただけではそれが正当な業務メールなのか、あるいは正当なメールを装った標的型攻撃メールなのか、容易には見分けられません。そこで「m-FILTER」Ver.5では、こうした標的型攻撃メールの“偽装”を見破るための各種機能を新たに実装しました。

多くの標的型攻撃メールはメールの送信元を偽装し、普段から業務メールをやりとりしている正しい送信元から送られてきたメールであるかのように装います。しかし「m-FILTER」Ver.5は、メールに記された送信元メールアドレスのホストに直接問い合わせて、このアドレスが正当なものであるかどうかを判定します。

送信元偽装判定(イメージ)
<送信元偽装判定(イメージ)>

また、マルウェアを仕込んだ添付ファイルを受信者にクリックさせるために、「.exe」「.bat」といった実行ファイル特有の拡張子を巧みに隠蔽する標的型攻撃メールも多く見られます。この場合でも、「m-FILTER」Ver.5は「多重拡張子判定」「禁止拡張子判定」「拡張子の大量空白判定」「マクロ含有判定」といった判定ロジックを駆使し、添付ファイル(圧縮ファイルも含む)が実行ファイルかどうかを正確に判定します。

添付ファイルの拡張子偽装判定(イメージ)
<添付ファイルの拡張子偽装判定(イメージ)>

さらには、メール本文中に含まれるURLを偽装し、正しいリンク先と見せかけて不正サイトに誘導する手口も多く使われます。こうした手法に対しても、「m-FILTER」Ver.5なら「アンカーテキストとURLが異なる」「禁止拡張子のファイルをダウンロードするURL」「URLにグローバルIPアドレスが使われている」といった不正URLの手口を見破ることができます。

リンク偽装有無判定(イメージ)
<リンク偽装有無判定(イメージ)>

疑いなしのメールは「無害化」、疑わしいメールは「隔離」

こうして「m-FILTER」Ver.5は、さまざまな切り口からメールの正当性を判定し、そのメールの“安全度”をスコアリングします。その結果、「偽装の疑いなし」と判定されたメールだけを通して、宛先ユーザーのメールボックスに届けます。

しかし、いったん安全だと判定されたメールであっても、決して油断はできません。たとえ正当なURLであっても、リンク先のサイト自体がマルウェアに感染していたり、あるいは添付ファイルに含まれるマクロを悪用される危険性もあります。そのため「m-FILTER」Ver.5では、受信メールからさまざまなリスクを除外して「無害化」した上で受信者に届けることも可能です。

例えば、受信メールから自動的に添付ファイルを削除したり、HTML/リッチテキストメールを自動的にテキスト化したり、本文に含まれるURLリンクを無効化したり、さらには添付ファイルに含まれるマクロを除外することもできます。こうしてメールを完全に無害化した上で受信者に届けることで、標的型攻撃メールによる被害をさらに確実にシャットアウトできるようになります。もちろん、「m-FILTER」が自動的に削除した添付ファイルやマクロは、別途安全な場所に保管されていますから、受信者はそこにアクセスすることで添付ファイルの内容を確認できます。

一方、「偽装の疑いあり」と判定されたメールは、それによる被害が決して生じないよう、「m-FILTER」によって安全な領域に自動的に「隔離」されます。メールの受信者には、メールが隔離されたことが自動的に通知されます。また管理者は、隔離されたメールを削除するか、あるいは再配信するかを選択できるようになっています。

加えて、隔離されたメールに含まれる「不正URL」に関する情報を、Webフィルタリング製品「i-FILTER」に自動的に反映させることも可能です。この不正URL情報を受け取った「i-FILTER」側では、ブロック対象URLのデータベースにこの不正URLを登録し、以降このURLに対するアクセスを検知した場合は自動的にブロックするようになります。こうして「m-FILTER」と「i-FILTER」を連携させることで、より強固な標的型攻撃対策が可能になるのです。

次回は、この「i-FILTER」の最新バージョンであるVer.10で新たに実現された標的型攻撃対策について紹介してみたいと思います。

<「m-FILTER」製品担当:萩野谷>

  • ※ 出典:株式会社ミック経済研究所 「情報セキュリティソリューション市場の現状と将来展望 2016【内部漏洩防止型ソリューション編】」

標的型攻撃に対するセキュリティ対策には「i-FILTER」Ver.10×「m-FILTER」Ver.5をおすすめします。

「i-FILTER」Ver.10×「m-FILTER」Ver.5