スパムメールの減少という事態の裏で、APT(Advanced Persistent Threats)と呼ばれる標的型攻撃が本格的に猛威をふるいつつある。メールのセキュリティ対策を手がける日本プルーフポイントに、昨今大きく変化を見せつつあるサイバー攻撃の動向について聞いた。
無差別攻撃から標的型攻撃への変化
標的型攻撃の定義はさまざまだが、特定のユーザーや企業をターゲットにした攻撃と説明されることが多い。今までのように無差別にメールをばらまくような愉快犯型の攻撃ではなく、会社の上級職や価値の高い情報を持つユーザーをターゲットに、攻撃を仕掛けてくるというものだ。日本でもこうした攻撃が増えており、新聞紙面を賑わせた事件だけでも三菱重工への攻撃、三菱東京UFJ銀行へのフィッシング詐欺、国会議員のメールサーバーの侵入など例は枚挙にいとまがない。
日本プルーフポイント 代表取締役社長の辻根佳明氏、マネジャー テクニカルセールス/サービス 高橋哲也氏
こうした攻撃はWeb、メール/IM、USBメモリ、ファイル共有などを介して行なわれるが、特にエンドユーザーが直接開くことになるメールを用いる例はきわめて多い。日本プルーフポイント 代表取締役社長の辻根佳明氏は、「もともと2003年以前のスパムメールは迷惑なだけの存在でした。しかし、2004年以降はスパムが急増し、トラフィックの90%以上がスパムになります。また、アカウント詐取を狙ったフィッシングが始まります。現在はスパムの数は減っているのに、メールを使った攻撃は明らかに巧妙に、かつ悪質になっています」と、この10年の脅威を概観する。この背景には、盗んだ情報を取引するアンダーグラウンドマーケットが構成され、犯罪や産業スパイが暗躍しやすい土壌が整えられてしまったという事情もある。
電子メールセキュリティの10年
攻撃手法も巧妙化している。スパムメールの送信は以前ボットネットを用いていたが、特定のIPアドレスから送信を繰り返すと足がつきやすいため、スパム業者にフレンドリーなISPが適当な範囲のIPアドレスをレンタルし、送付させているという。また、脆弱性の発見と共に攻撃が出現するゼロデイ攻撃が増え、シグネチャで検出できなくなっているのも悩みの種だ。
特にC層といわれるエグゼクティブは攻撃のターゲットになることが多く、ヘッドハンティングや内部告発などのネタをえさにファイルを開かせ、ウイルスを感染させるといった手法がとられる。その他、Amazonの発送完了通知やプリンタのスキャン完了通知を装うこともあり、「私は釣られないぞ!」と自信を持っていえなくなりつつある。こうしたウイルスのゼロデイ化、標的型攻撃の増加のほか、リンク先やURLの表示がしにくいモバイルデバイス向けの攻撃も次々と増えている状況だ。迷惑メールと異なり、いったんウイルスに感染し、漏えいすると被害も大きいため、「昔と違って、昨今はスパムやフィッシングメールのすり抜けが許されなくなってきています」(辻根氏)という。
コンテンツをディープに解析
こうした未知の悪質なメールやフィッシングを防ぐため、複数の対策を組み合わせているのがプルーフポイントの製品・サービスだ。レピュテーションやウイルス検知、MLXというコンテンツ解析、ゼロデイ・ゼロアワー攻撃の検出技術により、インバウンド・アウトバウンドの両面での対策を「Proofpoint Protection Server」に搭載。ソフトウェアやアプライアンス、SaaSの形態で展開している。マネジャー テクニカルセールス/サービス 高橋哲也氏は、「現在のメールセキュリティはレピュテーションが主流で、MLXのようなコンテンツ解析はやりません。弊社は文脈やHTMLの解析、URLの検証のほか、Receivedヘッダを見て経路を調べたり、X-Mailerを調べて、メールクライアントの特徴と照らせるところまでやっています」と、精度の高さをアピールした。
プルーフポイントの複合的な脅威対策
もちろん同社の十八番ともいえる誤送信対策も拡充しており、送った後に暗号鍵を取り消したり、リンクを無効化することで誤送信したメールを読ませなくすることも可能。アウトバウンドのスパムを検出・検疫するといったいわゆる「出口対策」も、インバウンド向けのライセンスだけで実現するという。
昨今ではアプライアンスからクラウドという移行事例も増えつつあるほか、GmailやOffice 365などクラウドのセキュリティ対策として追加されることも多いという。
