メールセキュリティソリューションセミナーイベントレポート
@ITセミナー、大阪へ!
「精神論」に頼らないメールセキュリティ対策とは
宮田 健
@IT編集部
2007/12/12
もうメールに添付ファイルはダメ!
|
独立行政法人 情報処理推進機構 セキュリティーセンター 研究員 園田道夫氏 |
本セミナーでの基調講演は、IPA園田道夫氏によって行われた。今回のタイトルは「今どきのメールとのつきあい方」とし、メールセキュリティ対策の生々しい現状を中心に講演が行われた。
PCを利用している人であればだれもが脅威に感じるであろうウイルス。IPAの調べによるとコンピュータウイルスの感染経路はメールが42.6%であり、ウイルスの感染経路としては最も多いルートとなっている。添付ファイルをそのまま実行してしまうことは非常に危険だ。そこで園田氏は「いまどきのウイルス対策、それは『ダブルクリックをやめる』ことである」と述べる。
この狙いは拡張子の偽装対策だ。多くのメール添付によるワームは、テキストファイルに見せかけた実行ファイルなど、拡張子を異なるものに見せかける手法が使われている。勢いでダブルクリックをしてしまうのではなく、アプリケーションを開き、そのメニューから開くことで、正しい拡張子のファイルを開くことができる。
そして今後注意しなくてはならないのは、各種アプリケーションの脆弱性だ。ソフトウェアの脆弱性に対処するアップテータが提供される前に攻撃されるゼロデイ脆弱性攻撃の事例も登場しているが、メジャーなアプリケーションはもとより、フリーソフトウェアの脆弱性が狙われることも少なくない。
これらの現状を考えると、メールに対する添付自体が問題となるのではないかと園田氏は語る。そのため、ファイルのやりとりをメールで行うという習慣自体を見直さなくてはならないのではないか、という提言が行われた。
 |
| 園田流・いまどきのウイルス対策3カ条 |
「危険なリンク先は踏むな」……危険でないリンク先って?
次に園田氏はスパムやフィッシングメールなどへの対策に触れた。フィッシングを行うような詐欺メールに対して、文面や送信元、リンク先などで判断するといった、利用者の知識に依存するような対策は有効ではない、というのが園田氏の結論だ。
従来、これらのメールに対しては「危険なURLや、怪しいと思うURLはクリックするな」ということが対策としてうたわれていたが、それはもう機能しないという。例として園田氏は以下のようなURLを提示した。
| https://example.jp/members/login.asp?id=sonodam%3d%3e%3cSCRIPT%3e location%2ehref%3d%27http%3a%2f%2fwww%2eevelexmple%2ejp%2f%27%3c %2fSCRIPT%3e |
実は、この実態は以下のようなURLなのである。
| https://example.jp/members/login.asp?id=sonodam’><SCRIPT> location.href='http://www.evelexample.jp/'</SCRIPT> |
これはexample.jpにあるWebアプリケーションに脆弱性が存在し、それを利用して悪意のあるサイト(上記ではwww.evelexample.jp)へのリダイレクトが仕掛けられている。例えばexample.jpが著名なサイトのURLであったとしたら、普通の人であれば信頼してクリックしてしまうのではないだろうか。このようにエンコードが行われてしまうと、単純にURLを見ただけでは危険かどうか判断できなくなってしまっているのが現状なのである。
さらにこのリダイレクト先のサイトが、既存のサイトとまったく同じ見え方をしていたとしたらどうだろうか。すでにこのようなことを実現するための「フィッシングツールキット」ともいえるものが流通しており、1銀行当たりいくら、というような形で販売されていると園田氏は語る。
このように、フィッシングの手口はどんどん巧妙化している。それに対してユーザーの知見、リテラシー向上に頼る「精神論」だけで戦わせるには限界がきているのだ。
機械的にスパムを分別する必要性
これに対抗するには機械的なソリューションを適用する必要がある。サーバ側での守りを充実し、迷惑メールそのものを「ユーザーの目に触れさせない」という対策をすべきである。これを実現するために、サーバ側で用意すべきツール、およびエンドユーザー側で用意すべきツールの要件を以下のように定義した。
- サーバ側
- 軽い
- 機械的(手間いらず)
- 精度が高い
- エンドユーザー側
- 精度が高い
- カスタマイズ性が高い
ここで園田氏は実際に送られてきたという迷惑メールのヘッダを取り上げ、それがどのような痕跡を残しているのかを解説した。ボットネットから送信されたと思われるメールのヘッダには偽装が行われているが、例えばその偽装が機械的で判別可能であったり、IPアドレスがメールサーバのものではなく、クライアントPCに割り振られているものであることを指摘した。
 |
| 実際に収集されたスパムメールのヘッダを基に解説が行われた |
つまり、判別の方法としてIPアドレスを調べることで、大半は機械的に判断ができるということだ。園田氏はメールが果たしてメールサーバから来ているものなのかを確かめる「S25R」(Selective SMTP Rejection)方式を紹介した。
| 【関連リンク】 阻止率99%のスパム対策方式の研究報告 ―― Selective SMTP Rejection(S25R)方式 ―― http://www.gabacho-net.jp/anti-spam/anti-spam-system.html |
このような方法を取り入れることで、明らかに問題のあるルートからのメールを規制することができる。次に必要なものは、正規のメールサーバを通じてやってくるメールへの規制方法だ。これにはベイズ推定により、迷惑メールの内容を基に判定を行う「SpamAssassin」や「POPfile」、また迷惑メールの判定エンジンが搭載された「Thunderbird」を利用するなどの方法で実現できる。
ツールは無償で使えても、人的資源は無償にはなり得ない
ここまでに挙げられた各ツールを見ると、ほとんどがフリーソフトウェアとして提供されているものだ。しかし園田氏は「ツールは無償ではあるが、タダではありません」という。ツールとしては無償かもしれないが、これを管理する「人への投資」が必須であるためだ。人手に対してお金がかけられるということであればよいのだが、それが難しければやはり各社が提供しているアプライアンスを導入する、ということで予算化する方が結果として安く上がる場合がある、と述べた。
アプリケーションやOSのバージョンアップに伴って、ユーザーの利便性が向上すると、そこを狙って新たな攻撃が行われることが多い。そのため、対策手法の「常識」は常に変化している。経営者や利用者からは「対策されていて当たり前」ととらえられがちのメールセキュリティ対策だが、スパム、ウイルスメールなどは対策の結果が目に見えて分かる分野ではないだろうか。IT部門は企業を守っているという自負を胸に、常に最新の情報を追いかけてほしい。
 |
2/2 |
| Index | |
| メールセキュリティソリューションセミナーイベントレポート 「精神論」に頼らないメールセキュリティ対策とは |
|
| Page1 そこにあるメールの脅威――メールのいまを総括 まだまだ手探り? 内部統制向けメール施策のいま OSだけではなくすべてのソフトウェアをアップデートすべし |
|
 |
Page2 もうメールに添付ファイルはダメ! 「危険なリンク先は踏むな」……危険でないリンク先って? 機械的にスパムを分別する必要性 ツールは無償で使えても、人的資源は無償にはなり得ない |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
