害悪とまで言われる日本特有のメールセキュリティ「PPAP」から企業はどう脱出するか:Inside-Out
調査の結果、2020年度は迷惑メールの数が200倍にも増加しており、Emotet(エモテット)と呼ばれるウイルスが、自分自身をZIPで暗号化することでウイルススキャンを回避、猛威を奮っていたことも明らかになった。「PPAP」と呼ばれるメール添付による暗号化ZIPファイルのやりとりが狙われているわけだ。そうした脅威から自社を守るために取り組んだ2つのセキュリティ強化策について紹介する。
メールセキュリティ最前線
大量の迷惑メールが届くようになっている。その中には、Emotet(エモテット)と呼ばれるウイルスが、自分自身をZIPで暗号化することでウイルススキャンを回避するものもあり、対策が急がれていた。そこで、こうした脅威から守るための取り組みを行った結果を報告する。
本記事は、株式会社インターネットイニシアティブの許可をいただき、「Internet Infrastructure Review(IIR)Vol.55」の「定期観測レポート」(2022年6月30日発行)を転載したものです。そのため、用字用語の統一ルールなどが、@ITのものと異なります。ご了承ください。
執筆者プロフィール
古賀 勇 (こが いさむ)
IIJ ネットワーク本部 アプリケーションサービス部 運用技術課 課長
2007年IIJ入社。メールサービスの運用業務に従事し、現場でメールに関する動向を調査。お客様のメールボックスを守るため、最新の攻撃手法や、迷惑メールのトレンド、対策情報などを発信中。
今村 侑輔 (いまむら ゆうすけ)
IIJ ネットワーク本部 アプリケーションサービス部 運用技術課 エンジニア
2015年IIJ入社。メールサービスの運用業務に従事。IIJ Europeでの就業経験を活かし、日々グローバルに活躍中。
はじめに
2021年6月に発行したInside-Out「2020年度、200倍に急増した迷惑メールとパスワード付きZIP対策【IIR Vol.51】」で、迷惑メールと、ウイルス数の集計と傾向を報告しました。特徴的だったのは、最大値で2020年度の200倍もの迷惑メールを受信したことと、Emotet(エモテット)と呼ばれるウイルスが自分自身をZIPで暗号化することでウイルススキャンを回避し、猛威をふるっていたことでした。
今回は、IIJがそうした脅威から自社を守るために取り組んだ2つのセキュリティ強化策について紹介します。1つは暗号化ZIPの運用を廃止したこと、もう1つはDMARCの強化です。読者の皆様にもぜひ実施いただきたい内容ですので、ご参考になれば幸いです。
IIJ、暗号化ZIPの運用を廃止
暗号化ZIP廃止の背景
IIJでは、2022年1月26日以降、メールに添付された暗号化ZIPファイルを原則受信拒否するよう、全社ポリシーを変更しました(注1)。
(注1)IIJからのプレスリリース「パスワード付きzipファイルが添付されたメール及び別送のパスワード記載メール(PPAP)に対する当社運用の変更について」
日本国内では、メールで添付ファイルを送付する際にパスワード付きZIPとして暗号化し、そのパスワードを別送する手法が誤送信対策として広まっています(注2)。しかし、この手法は誤送信対策として効果が少ないだけでなく、ウイルススキャンを回避できてしまう致命的な問題を抱えていることから、CISA(米国サイバーセキュリティ・インフラセキュリティ庁)からも受信拒否することが推奨されています(注3)。
(注2)PPAPと呼ばれることがあります。
(注3)CISA「Emotet Malware」
また、前途のとおり、猛威をふるったEmotetがこの手法を用いており、今後も同様の手口で拡散するウイルスの登場が予想されます。IIJ社内のみならず、大切なお客様や取引先様よりお預かりする情報を守るためにも、このリスクを看過することはできないとの経営判断に至り、トップダウンで対策が進められました。
暗号化ZIP廃止までの準備
今回のポリシー変更はおおよそ次のような手順で進められました。
- 情報システム部門から危機管理部門・経営層への説明
- 経営層から社内へのリスク説明・方針説明
- 情報システム部門での対策実現のための検討
- 情報セキュリティ担当部門での統一ルール検討
- 社内の各部門への説明とスケジュールの展開
- お客様・取引先様への説明
- ポリシーの変更
経営層からの方針説明があってから最終的にポリシーを変更するまでに、約1年掛かりで準備が進められました。丁寧に準備を進めていった結果、約半年経過した現時点で大きな混乱は生じていません。
暗号化ZIP廃止の効果
偶然にも、暗号化ZIPを原則受信拒否とした日の週末、テイクダウンされたはずのウイルス「Emotet」が復活していることが確認されました。図-1のとおり、IIJが運用しているハニーポットでも1月末に顕著に表れています。IIJでは、ウイルスを受信することなくゲートウエイで破棄されていますので、早くも大きな効果を上げていることが確認できました。社内ネットワークは安全に守られたのです。
この一連の方針転換は、実施するまでに社内の様々な部門、例えば、危機管理部門、情報システム部門、営業部門、広報部門、といった、多様な利害関係者がいる中で調整が進められました。長らく取ってきた手法を転換することはときに痛みを伴うこともありますが、リスクを先送りすることでは解決できません。重大事が起こる前に、早急な対策をお勧めします。
代替策はあるか
暗号化ZIP廃止論とセットで話題になるのが、この代替策です。Inside-Out「2020年度、200倍に急増した迷惑メールとパスワード付きZIP対策【IIR Vol.51】」では、どのような手法を用いても一長一短があることを説明しました。
IIJでも、この点を十分理解しており、社外とのファイル共有方法として、3つの手段を用意しています。
1つ目は、全社統一のオンラインストレージです。代替策として論じられている、最もオーソドックスな手段でしょう。ただし、オンラインストレージにはメールをアーカイブしているときに、後からファイルの追跡がしにくいという内部統制上の弱点になり得る点や、URL1つで大容量のファイルを持ち出すことができてしまうため内部犯行を見つけ出すのが困難である点をリスクとして抱えています。
2つ目は、添付ファイルをそのまま送信する方法です。暗号化ZIPは誤送信対策として効果が少なく、ウイルススキャンを回避できてしまうことが問題なのですから、そのまま送信すれば良いという判断です。また、一部の取引先様によっては、宛先の社内から社外Webへのアクセスが許されていないケースもありますので、そのような場合は直接送信して対応しています。
3つ目は、従来の暗号化ZIP運用を続ける方法です。これは例外措置です。メールでのやり取りは、送信・受信の双方あって成立するものですから、一部の組織や取引先様で従来の手法を取らざるを得ないケースが残っています。このような場合は、リスクを十分に理解した上で、その組織長の承認によって、例外措置を入れた運用をしています。
そして、この3つの方法をメール監査システムと組み合わせることで、それぞれの弱点を補強しています(表-1)。
繰り返しになりますが、暗号化ZIPを一律受信拒否としたことで、Emotetを代表とするウイルスの脅威にさらされることがなくなりました。こうしている間にも攻撃者は次のターゲットを狙っています。全社ポリシーを変更するには時間が掛かることもありますので、今すぐ対策に着手されることをお勧めします。
IIJ、DMARCポリシーを強化
DMARCポリシーを強化した背景
IIJは、2013年にDMARCポリシーを導入し、しばらくの間p=none、つまり、外部に対してDMARC検証が失敗したメールについて何もしないでください、と宣言してきました。p=noneだとしても、DMARCレコードを公開してDMARCレポートを受信することが可能です。受信したレポートの統計データを集計することで、なりすましメールを見抜くことができるため、自社ドメインのブランドを守るという観点ではとても有用です。IIJが提供しているメールセキュリティSaaS「IIJセキュアMXサービス」でも、DMARCレポートを自動で集計し、統計情報を参照できる機能を提供しています。
近年、スパムフィルタを巧みに回避するようなフィッシングメールや差出人詐称メールが流行しており、メールによる様々な脅威に対して多角的なアプローチが必要になっています。法人系メールセキュリティSaaSをお客様に提供しているIIJとしても、まずは社内メールのセキュリティ強化を図るため、p=quarantineへポリシーを変更することとなりました。
送信ドメイン認証
IIJのDMARC導入について報告する前に、改めて送信ドメイン認証技術について以下に記します。送信ドメイン認証技術にはSPF、DKIM、DMARCが世界的に一般に使用されており、それぞれRFCにて定義されています(表-2)。
DMARCポリシーには、表-3の3つが指定できます。DMARCポリシーで重要なのは、送信者から受信者に対して"こうしてください"とお願いするだけであって必ず宣言したとおりに受信者側システムで取り扱われる訳ではない点です。受信側のメール解析システムにDMARCを評価するような機能、フィルタが実装されていなければ何の影響もありませんが、企業としてDMARCポリシーを外部に対して宣言することで自社ドメインの正当性を表明することができます。
いままでのメールに関するフィルタ処理は受信者側での判断に委ねられていましたが、DMARCポリシーを使ったフィルタ処理は、送信者側から"DMARCの認証に失敗したメールはこう処理してほしい"と受信者へ依頼をする形となっており、メールをフィルタする手段としては従来にはなかった画期的なフレームワークです。
送信ドメイン認証導入の準備
Copyright© Digital Advantage Corp. All Rights Reserved.