【新技術レポート】標的型メール攻撃に対する新しい防御のしくみ－富士通社員10万人が使う誤送信ソリューションを拡張

標的型サイバー攻撃の第1ステップは、メールを用い、人間という脆弱性を突いてくるケースが大半だ。今回の富士通研究所の技術は、その対策として重要なテストケースとなるだろう。

特集特集

2012年10月12日（金） 08時00分

標的型メール攻撃とは、特定の相手に対して巧妙な内容のメールを送信し、添付ファイルを開かせるなどして不正プログラムに感染させ、以降の不正通信や情報窃盗などにつなげることを目的としたソーシャルエンジニアリング攻撃の一種である。

この標的型メールを完全に防御することは難しい。ユーザ教育によって、ある程度の効果は期待できる。しかし、政府機関やセキュリティ企業であったとしてもその効果は限定的だ。標的型メール攻撃についてのレクチャーをした後、複数回にわたり標的型メールを模したダミーのメールを送付したところ、添付ファイルを開いてしまうユーザが一定の割合で存在した。決定的な対応策がないのだ。

標的型メール攻撃に対する防御は、なぜ難しいのだろうか。それは人間という脆弱性を突いてくるため、電子的、物理的なセキュリティ対策では防御しきれないためだ。たとえばスパムメール対策プログラムやウィルス対策ソフトなど、特定のパターンと比較する方法は使えない。攻撃者は通常のメールを盗聴してそれと矛盾のない題名、本文、添付ファイル名を用いる、差出人としてもっともらしい実在の人物や組織を騙るなど、攻撃相手を調べ上げ、思わず添付ファイルを開いてしまうような巧妙な罠をしかけてくる。

そうした中、2012年5月15日、富士通研究所は、新しいアプローチで標的型メールへの対策を行う技術を開発したことを発表した。編集部では富士通研究所で実際に開発を担当しているソフトウェアシステム研究所セキュアコンピューティング研究部森永正信氏と、吉岡孝司氏に話を聞いた。

本稿では、この技術を用いたメールチェックプログラムの動作と仕組み、防御シナリオ、開発のきっかけと強み、製品化までの道のりについて取り上げる。

●メールチェックプログラムの動作と仕組み

富士通研究所の標的型メールチェックプログラムは、クライアントPC上で稼動する。メールサーバとメールクライアント間を仲立ちするPOPゲートウェイとして動作し、標的型メールのリスクがあるメールをダウンロードしようとすると、ポップアップウィンドウを開いて詳しい警告内容を通知、ユーザに以降の処理を明示的に選択させるようにする。これには、添付ファイルを削除してからダウンロードしたり、通常のメールフォルダとは別のフォルダにダウンロードするなどの選択肢がある。

標的型メールかどうかの判断基準は2つある。

1)メールに付与された識別情報
このメールチェックプログラムは送信時に、メールごとに計算した識別情報をヘッダフィールドとして付与する。社内でメールを送受信する場合、受信側で計算して導き出した識別情報と、受け取ったメールのヘッダの識別情報とを照らし合わせることで、正規の送信者から送付されたメールかどうかを判定する。
　
2)受信履歴を基にしたソーシャル分析
前述の判定方法は社外からのメールには使えない。こちらのケースでは、過去の受信履歴から送信者ごとの特徴を学習し、類似性が高いかどうかで判定する。具体的には、メールの配送経路を表すReceived、送信者が使用しているメールクライアントを示すX-Mailer、送信時刻やタイムゾーンが記されたDateといった、メールヘッダの各フィールドの情報を用いているものと編集部では推測する。

●防御シナリオ

社内・社外それぞれの送信者を騙った標的型メールを例に、防御シナリオを取り上げる。

1)社内メンバーを騙った標的型メール
送信者が社内メンバーになっているメールの場合、メールチェックプログラムではメールに付与された識別情報の整合性をチェックする。外部の攻撃者が送信者を騙った標的型メールの場合、メールに識別情報が付与されていないため、受信者のPC上にポップアップで警告が表示される。

2)社外メンバーを騙った標的型メール
送信者が社外メンバーのケースでは、過去の受信履歴から学習した差出人の特徴と比較される。ここでマッチしなければ、受信者のPC上に警告画面が出る。

●開発のきっかけと強み

もともと富士通研究所では情報漏洩対策としてメールの誤送信ソリューションを開発しており、既に富士通SSL社が当該技術を採用してSHieldMailCheckerとして製品化している。誤送信対策と標的型メール対策には、メールチェックプログラムという機構が使える、ヒューマンエラーによる情報漏洩の防止を目的としている、といった共通点がある。富士通研究所では既存の誤送信対策を拡張して、標的型メール対策技術を盛り込むことを決定した。

最大の強みは、富士通グループでおよそ10万ユーザといった使用実績があるのみならず、実運用を行いながら豊富なデータを蓄積・分析していることだ。実際、誤送信が起きやすい時間帯や相手先などを富士通研究所では割り出している。ここで培った知見やノウハウは標的型メール対策にも生かせるだろう。

●製品化までの道のり

現在のところ、製品をリリースする具体的なスケジュールは決まっていないが、2013年度の早い段階を目標にしているようだ。人的ミスを防御するための製品であるため、警告が出ることや操作に慣れが出て、せっかくのチェックが甘くなってしまわないように、ユーザインターフェイスの工夫などが課題として挙がっているそうだ。

●おわりに

標的型サイバー攻撃は、昨今、耳目を集めているが、この攻撃の第1ステップでは、標的型メールを用い、人間という脆弱性を突いてくるケースが大半だ。今回の富士通研究所の技術は、APT対策として重要なテストケースとなるだろう。

（株式会社イメージズ・アンド・ワーズ鳴海まや子）

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

【新技術レポート】標的型メール攻撃に対する新しい防御のしくみ－富士通社員10万人が使う誤送信ソリューションを拡張

関連記事

Scan PREMIUM 会員限定記事

ガートナークラウドクッキング教室～ CCoE 構築の重要性

OWASP データブリーチ

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

カテゴリ別新着記事

関連記事

Scan PREMIUM 会員限定記事

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

OWASP データブリーチ

悪夢の検証 大英図書館ランサムウェア ～ 過ちが語る普遍的な物語

AI アプリ標的 ゼロクリックワーム開発／北 韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理

Windows DNS の脆弱性情報が公開

バッファロー製無線 LAN ルータに複数の脆弱性

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

インシデント・事故 記事一覧へ

東京高速道路のメールアカウントを不正利用、大量のメールを送信

組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に

インフォマート 公式 Facebook ページに不正ログイン

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ～ 株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍 時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

プルーフポイント、マルウェア配布する YouTube チャンネル特定

IT部門か全員かそれとも政府か ～ サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ～ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

Reject 運用のポイント他 ～ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ～ SECON & eGISEC 2024 開催

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応

セキュリティ診断会社と開発会社が業務提携 ～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位

警察庁、サイバー事案通報の統一窓口を設置

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

ガートナークラウドクッキング教室～ CCoE 構築の重要性

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

インフォマート公式 Facebook ページに不正ログイン

転職先で営業活動に活用、プルデンシャル生命保険元社員顧客情報持ち出し

調査・レポート・白書・ガイドライン記事一覧へ

セキュリティ対策は株価を上げるのか～株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

IT部門か全員かそれとも政府か～サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い～ JIPDEC、ITR 調査

研修・セミナー・カンファレンス記事一覧へ

ガートナークラウドクッキング教室～ CCoE 構築の重要性

Reject 運用のポイント他～日本プルーフポイント「DMARC Conference 2024」5 月末大手町で開催

韓国の 2024年セキュリティ市場規模 8,000 億円見込～ SECON & eGISEC 2024 開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向記事一覧へ

セキュリティ診断会社と開発会社が業務提携～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ国内 1 位

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ