第5回 ExchangeサーバとSender IDの親和性
竹島 友理NRIラーニングネットワーク株式会社
2006/3/14
こんにちは。今回もExchange Server 2003のService Pack 2(SP2)に入っているセキュリティ機能の紹介です。今回のテーマは、「Sender ID」という送信ドメイン認証機能について見ていきます。
Exchange Server 2003 SP2をインストールすると、Exchange Server 2003環境でSender IDを実装できるようになります。なお、Sender IDは@ITやMicrosoftのWebサイトで、すでに多くの解説情報が公開されているので、その都度、関連情報を紹介していきます。
Sender IDはいまの時代に必要なスプーフィング対策
Sender IDとは「スプーフィング(なりすまし、送信者アドレスの偽造)」に対抗するIPベースの送信ドメイン認証技術です。スプーフィングの手口は、しばしば迷惑メール(スパムメール)、フィッシング(Phishing)攻撃、メール感染型のウイルス/ワームなどに使用されます。
・迷惑メールにおけるスプーフィング
迷惑メールの送信者は、メールから自分の身元を特定されないように、送信者アドレスを偽造して別のドメイン名を名乗ったり、送信者アドレスを空白にしたりすることが多いです。
・フィッシング攻撃におけるスプーフィング
フィッシング攻撃とは、悪意のあるユーザーが正規の金融機関などを装ってメールを送り、暗証番号やクレジットカード番号などの情報を入手する詐欺のことです。
例えば、皆さんの元に、ある金融機関を名乗るメールが届いたとします。そのメッセージ本文には個人情報の入力を促す案内文とWebページへのリンクが書いてあり、そのリンクをクリックすると正規の金融機関のWebサイトと、個人情報入力用のポップアップウィンドウが表示されました。
このメッセージの送信者アドレスが偽造されていることを知らない皆さんは、正規のWebサイトを見て安心してしまい、入力フォームに暗証番号やパスワード、クレジットカード番号などの個人情報を入力して返信してしまいました。その結果、皆さんの個人情報が悪事を企んでいる人に渡ってしまいました。これが代表的なフィッシングの手口です。
フィッシングの語源は「釣り」を意味する「Fishing」からきていますが、偽装の手法が洗練(sophisticated)されていることから「Phishing」になったといわれています。
・メール感染型ワームにおけるスプーフィング
メール感染型のワームも送信元のメールサーバが特定されないように、しばしば送信者アドレスを偽造します。メール感染型のワームは、自分自身でメールの送信機能を持っており、侵入先で取得したメールアドレスをあて先に設定して、DNSで送信先サーバを検索し、次々とワームを添付したメールを送信します。
なぜ、このような悪意のあるメールが飛び交うようになってしまったのでしょう。
メールで使用されているSMTP(Simple Mail Transport Protocol)というプロトコルは、1982年にRFC821として公開されました。もともとSMTPは性善説のプロトコルで、その基本的な機能や考え方はいまでも変わっていません。送信者がどのようなメールサーバを使用していても自分のドメインあてのメッセージはそのまま受信しますし、SMTPの送信者アドレスは簡単に書き換えができます。
当時は、技術者たちの狭いネットワークで使用していたので、深刻な問題は起こらなかったのかもしれませんが、いまは世界中の不特定多数の人たちがメールを使用している時代です。もちろん正当なメールをやりとりしている人たちはたくさんいます。しかし、残念なことにメールという手段を利用して悪意のあるビジネスをしている人や相手の環境を攻撃しようとする人たちもたくさんいるのです。
このようにSMTPが開発された当時とは状況が変わってきているので、そこを補う技術が必要なのです。今回紹介するSender IDは、まさにいまの時代に必要なメールの送信者を認証する技術です。
Sender IDは迷惑メール対策ではありません
Sender IDを使用すると、メッセージの送信者アドレスの偽造を見抜き、うそをついている相手を突き止めることができるので、「信頼できる」と確認できたメールのみ受け取れるようになります。しかし、ここでの信頼は、送信者アドレスが偽造されていないことへの信頼であって、そのメールが正当なメールであることを意味しているわけではありません。
Sender IDは、MAIL FROMコマンドの引数やFrom:ヘッダで示されている送信者アドレスが正しいかどうかを検証するのが目的であって、そのメールの正当性を確認する機能ではありません。つまり、Sender IDだけでは迷惑メール対策にはならないのです。送信者アドレスを確認したメールを受信した後、受信側でどのような対策を取るのかは、それぞれの環境の管理方針に任せられています。
Exchange Server 2003が持っている迷惑メール対策機能は、第4回で紹介した接続フィルタ、送信者フィルタなどのフィルタ機能です。これらのフィルタ機能を使用すると送信元ドメイン名やIPアドレスを基に迷惑メールの受信を制御できます。しかし、これらのフィルタ機能には、送信者アドレスが偽造されているかどうかを検証する機能がありません。もし送信者アドレスが偽造されたメールを受信したとしても、フィルタルールどおりに動作するだけです。
ですから、送信者アドレスを確認するSender IDと迷惑メール対策であるフィルタ機能を併用して、お互いに補完し合うように構成しましょう。
Sender IDを実装したことにおけるメール送信側のベネフィットは、自分のドメインから送信されたメールの正当性を受信側に確認してもらえることです。つまり、悪意のあるユーザーが皆さんのドメイン名を名乗って迷惑メールを送信したとしても、そのメールを受信した側はそれが正当なメールでないことを確認できます。
一方、受信側のベネフィットは、受信するメールの送信者アドレスが偽造されているかどうかを確認できることです。Sender IDが利用されているのであれば、その送信者アドレス情報を信頼して、フィッシング詐欺や迷惑メールへの対策を考えることができます。
1/4
|
Index | |
ExchangeサーバとSender IDの親和性 | |
Page1 Sender IDはいまの時代に必要なスプーフィング対策 Sender IDは迷惑メール対策ではありません |
|
Page2 SMTPによるメール送信処理 Sender IDによる送信ドメインの検証方法 |
|
Page3 メール送信側の設定作業 メール受信者側の作業 |
|
Page4 3つの送信ドメイン認証 |
関連記事 |
基礎から学ぶExchange Server 2003運用管理 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|