Security Online Day 2021レポート（AD）

「攻撃者はシステムではなく人を狙う」高度化するメールからのサイバー攻撃の最新動向と対処法

2021/10/14 11:00

通知

　セキュリティ対策の技術は年々進化すれど、サイバー攻撃は防衛をすり抜けるように巧妙さを増している。特に人間の脆弱性が狙われているところに警戒したい。たとえばメールを受信しただけでは何も起こらないものの、ユーザーがURLをクリックしてしまう、あるいは添付ファイルのマクロを有効にしてしまうなど、攻撃者にはめられてしまっているようなものだ。人間を中心に考え、セキュリティ業務の自動化と効率化を実現するプルーフポイントのソリューションを詳しく解説する。

通知

システムよりも人間の脆弱性を狙う攻撃がますます増えている

スピーカー
日本プルーフポイント株式会社　セールスエンジニアリング部シニアセールスエンジニア／CISSP　佐藤剛

　脅威は日々変化している。スパム、エクスプロイトキット、添付ファイルのマクロがあり、近年ではBEC（Business Email Compromise／ビジネスメール詐欺）やEAC（Email Account Compromise／メールアカウント侵害）、サプライチェーンリスクが大きな脅威になっている。

　最新の脅威動向を見ると、人為的に引き起こされるものが上位を占めている。たとえば、メールにあるURLをクリックしてしまう、その先の不正なページでクレデンシャルを入力してしまう、添付ファイルのマクロを有効にしてしまうなどだ。近年では防御のテクノロジーが向上しているため、技術的には高度でなくても人間の隙をつくような攻撃のほうが成功しやすい。騙すテクニックがますます巧妙になってきているのだ。

　プルーフポイントの調査によると、成功するかどうかは別として、ほとんどの企業がブルートフォースアタック（総当たり攻撃）を経験している。クレデンシャルフィッシング攻撃の被害に遭った組織は57％。侮れない数字だ。

　攻撃者は常にルアー（ユーザーを引っ掛ける罠）を変える。昨年なら「コロナウイルス」「マスク」、最近なら「デルタ株」「ワクチン」など、ユーザーの関心を引きつけて認証情報を入力させようとする。普段なら無視できても、タイミングが重なるとうっかりひっかかってしまうことがある。他にもOAuthアプリケーションを悪用する攻撃、多要素認証を回避するテクニックもある。

　攻撃者が何らかの形でクレデンシャル（認証情報）を入手すると、メールや関連するプラットフォームが悪用されてしまう。プルーフポイントによると、2020年にプルーフポイントの顧客が受け取ったメッセージのうち、Microsoft 365やGoogle Workspaceなどから送信されたものが数千万通にもおよぶ。盗んだクレデンシャルでログインして送信しているので、メールアドレスやドメインでブロックしようがなく、実際にブロックしてしまうと業務に支障が出てしまう。日本プルーフポイント佐藤剛氏は「いかに早期に脅威を検知し、ピンポイントにブロックすることが大事です」と話す。

　ランサムウェアも進化している。当初は感染した端末のデータを破壊する程度だったものの、最近では組織全体に影響が及ぶようになってきている。サンドボックスを回避するなど、巧妙に進化している。

　最近では大規模なランサムウェア被害が報じられているが、実はBECの損失額は約19億ドルでランサムウェアをはるかにしのぐ。BECはサイバー攻撃というよりは、デジタルなコミュニケーション手段を介して働く詐欺のようなもの。典型的なケースだとメールで企業の役員や会計担当者を装い偽の振込依頼、あるいは取引先を装い偽の振込先変更を指示する。98％の組織がサプライヤーのドメインからの脅威メールを受信しており、大きな脅威になっている。佐藤氏は「74％の脅威がフィッシングやなりすまし」と指摘する。

　サイバー攻撃は事業継続性を脅かすリスクであり、重要な経営課題だ。リモートワークや働き方の多様化で境界型防御の効力は薄れてきており、脅威は高度化、巧妙化している。もし情報漏えいが生じれば、システムダウン、顧客喪失、評判低下などに被害が波及する。プルーフポイントの試算ではこれらの情報漏えいの平均総コストは4億3,500万円。これだけ脅威がありながらもセキュリティ人材は不足しており、事態は深刻だ。

　現状のリスクに応じたセキュリティ対策ができているか、今一度、戦略や投資を見直す必要がある。最近の脅威動向から考えると、盲点となりやすいのが内部からの情報漏えい。最も多い攻撃経路となるメールの防御、従業員のトレーニングも必要だ。

　佐藤氏はニューノーマル時代のゼロトラストセキュリティのポイントとして、人を基点にセキュリティを構築すること、人の特性に合わせて制御すること、インシデント対応時間を短縮できるようなレジリエンスの構築を挙げる。それぞれ追って詳しく解説する。

メールのドメインなりすまし対策に有効なDMARC　仕組みと設定方法は？

　ここからメールにフォーカスし、対策やソリューションを見ていこう。フィッシングやBECにつながるため、なりすましメールには特に警戒したい。なりすましメールには表示名詐欺、類似ドメインから送信、Reply-to（返信先）の悪用、ドメインのなりすましがある。

　表示名詐欺はFromフィールドに表示される送信者名を詐称する。実際には攻撃者のアドレスから送信されている。類似ドメインは正規のドメインによく似たドメインから送信する。たとえば「example.com」を「examp1e.com」など、「l（エル）」を「1（いち）」にしたり、ゼロとオーなど似た文字で見間違いを狙う。

　Reply-toの悪用は、返信先に攻撃者のアドレスを指定する。Reply-toは目立たないので、普通に返信したつもりなのに攻撃者に向けてメールが送られてしまう。ドメインのなりすましはFromにある送信元ドメインをなりすます。たとえばFromフィールドの表示名は「info@example.com」とありながらも、実際にはまったく別のドメインから送信されている。

　ドメインのなりすましにはインターネット標準となるDMARC（Domain-based Message Authentication, Reporting and Conformance）が有効だ。DMARCの監視モードを設定すれば、なりすましされたドメイン所有者（たとえば「example.com」）に、いつ、誰が「example.com」ドメインになりすましたのか報告されるようになる。

　また受信側組織がDMARCを設定しておけば、送信元ドメインの認証を確認するのでドメインがなりすましされているか確認できて、もしドメインがなりすましされていたら隔離やブロックを設定しておくこともできる。

　DMARCはSPF（Sender Policy Framework）とDKIM（DomainKeys Identified Mail）からなる。SPFは送信元ドメインが正規の送信元かどうか、DNSで確認する。DKIMは電子署名を用いてメールが改ざんされていないかを確認する。SPFとDKIMを用いてドメインがなりすましされていないかを確認できる。

　基本的にはドメイン所有者はDNSに設定すればいいだけだ。これでドメインがなりすましされているかどうかがわかるようになる。またこのDMARCはDNSに設定するため、誰でも閲覧できる公開情報だ。DMARCが設定されてあるドメインは玄関先に監視カメラが設置されているようなもの。攻撃者視点で考えたら、DMARCが設定してないドメインを攻撃対象に選ぶだろう。攻撃の成功率が高くなるからだ。逆に言えば、DMARCを設定しておけば攻撃対象から外されやすくなると期待できる。

　DMARCは基本的にはDNSに設定するものなので、特定の製品やサービスを購入する必要がない。まだ設定していないなら、ぜひとも設定しておきたい。

人を中心にすえたプルーフポイントのメールソリューション

　ここからは、プルーフポイントのセキュリティ対策ソリューションの具体的な姿を見ていこう。メールソリューション提供モデルは何段階かに分かれており、主要なものを揃えた「P0（コア）」、企業向けにセキュリティ意識向上トレーニングを追加した「P1（アドバンスド）」、サプライチェーンリスクや内部メールの防衛を含めた「P1+（コンプリート）」がある。

　これらすべてに含まれており、中心的な役割を果たすのが「Proofpoint NPRE：Nexus People-Risk Explorer」と「Proofpoint CLEAR：Closed-Loop Email Analysis and Response」。

　NPREは次世代ダッシュボードで、人を中心とした視点でリスクを監視できるようになっているのが大きな特徴だ。人それぞれにリスクは異なる。特権を持つユーザーは特に狙われやすく、被害も大きくなるから注視する必要がある。スキルや経験不足で脆弱なユーザーも注視しておくべきだろう。これらの要注意人物にはマークをつけておいて、不審な兆候がないか重点的にチェックできる。特定のユーザーだけではなく、役職や部署グループで監視することもできる。リスクが高いところを効率的にチェックできるところがいい。

　もう1つのProofpoint CLEARは、悪意あるメールが届いてしまった時の処理を効率化するための一連の機能を指す。メールセキュリティの自動化（mSOAR）ができて、MTTR（対応完了までの時間）を短縮できる。佐藤氏はデモとして、悪意あるメールがアンチウィルスなどの防衛をくぐり抜け、何人かのメールボックスに配信されてしまった時の処理の流れを説明した。

　幸いにも、あるユーザーは不審なメールだと気づいてくれた。その場合、ユーザーはメール画面から簡単な操作で通報（通報先へ転送）できる。メールが通報先に届くと、改めて解析にかける。本当に有害なメールだと判明すれば通報者にお礼し、同じメールが他のユーザーにも届いているならすべてのユーザーのメールボックスから不審なメールを一斉に隔離する。

　他にもインシデントレスポンスとなる「Proofpoint Threat Response」では攻撃の可視化が可能だ。脅威（インシデント）は何か、誰がターゲットになったのか、どこからの攻撃かなどの状況を把握できる。さらにどのユーザーが不審なメールを開封したか、開封したならURLをクリックしたかどうか、転送したなら誰に転送したかなどの動きも追跡できる。

　一般的にこうした不審なメールの対処の平均時間は166分と言われている。ユーザーの通報から始まり、添付ファイルの検証、アナリストのレビュー、影響するユーザーの特定などを人手で行うためだ。ここにプルーフポイントのCLEARを導入すると、先述のように通報から分析、影響範囲の特定、隔離などの一連の処理が自動化されるために数分で処理が終わる。

　佐藤氏は「プルーフポイントは『攻撃者はシステムではなく人を狙う。だからセキュリティも人を中心に』と考え、理念にピープルセントリックを掲げています。プルーフポイントをご存じの方はメールセキュリティのイメージが強いかと思いますが、メール以外にもCASB、Web分離、内部脅威対策、セキュリティ教育にも力をいれています」と語る。