取引先などからパスワードによって解凍できる添付ファイル付きメールと、別メールにてパスワード送信されてきたことはないだろうか。この方法によってファイルを社外へ送信することは。現在弊害しかなく大変危険なので、ただちに利用を廃止するべきである。また、送信してくる取引先には変更要請を行っていただきたい。情報漏洩対策を理由にしてくることも予想されるが情報漏洩対策には、ほとんど貢献していないことを良く考えるべきだ。情報漏洩に適したスマートな別方式のソリューションGoogle Workspace(旧G Suite)等が多数存在する。
この仕組みは、電子メールサーバが暗号化されておらず、また複数のメールサーバを経由して送信されていたインターネット黎明期においては部分的にセキュリティを担保するには有効であったかもしれない。しかし、いまや電子メールサーバの大半は暗号化され、メールサーバ間で直接送受信されているため盗聴はされない。
パスワード付添付ファイルは、パソコン上で稼働するエンドポイント保護(EPP)に加えて、電子メールサーバ内やファイアウォール装置にて稼働するEPPと異なるアンチウイルスエンジンによるウイルス監査を行うことができない。このため、複数のAVエンジンによって二重・三重のセキュリティ障壁によるセキュリティ保護を行えず、EPPのみのAVエンジン性能に頼ることになる。3つ4つのAVエンジンで強固に守る方式を企業は採用することで防御力は高まる。
セキュリティを担保する上では、ひとつでは完全に守ることはできず、二重、三重、そして可能であれば四重の防御があってこそ、安心安全を深く担保することが可能になることは言うまでもないだろう。
第1防衛線は、 ファイアウォール装置。暗号通信を解きメールやWeb経由でのファイルを監査することができる。
第2防衛戦は、メールサーバ。メールサーバへ常駐させ添付ファイルに脅威がないか監査することができる。
第3防衛戦は、パソコンなどのエンドポイント保護(EPP)。ファイアウオール装置やメールサーバ上で稼働するAVエンジンと異なるものを実装することで防御能力が高まる
第4防衛線は、ファイアウオール装置上での不正な通信を検知・防御する機能やEDR機能だ。
しかし、暗号付き添付ファイルの場合は、電子メールサーバやファイアウォール装置で検査することができない。暗号キーがないためファイルを展開できないからだ。このため、第1、第2防衛線で止めることがなければ防衛線を突破し、そのまま悪質なファイルであっても社員のパソコンへ直接到達してしまう。
第3防衛線で採用されているEPPが、パソコン上で数秒でウイルスであるかを判断する従来型セキュリティソフトであれば、高度に難読化された標的型攻撃の起動を阻止することができず、ウイルスの稼働を許してしまうことになる。スーパーコンピュータを用いて多くの専門家によって作成された標的型攻撃は、ほんの数秒でウイルス監査するAVエンジンでは、ほぼ検知することはできないと断言できる。未知のアプリケーションを起動許可しているためだ。標的型攻撃で利用されるウイルスは出荷前検査されている製品であるため、AVエンジンが端末にある従来型セキュリティソフトでは検知できないのだ。悪意ある組織が後出しジャンケンをしているのだ。昨今、日本企業で標的型攻撃で感染を許しているのは、第1、第2防衛戦で悪意あるファイルを停止する運用をしておらず、第3防衛戦も守ることができないEPPを採用しているためだ。
このため、企業として行うべき危機管理対策としては、パスワード付き添付メールを送信してくる取引先には、告知期間を設けたのち、ファイアウォール装置や電子メールサーバ上で添付ファイル監査を行うことができなかった電子メールは、「return-to-sender」(送信者へ差し戻し)設定をし、多重なアンチウイルスエンジンによる監査を経て、パソコン上でファイルを利用できるようにしたい。
エンドポイント保護(EPP)についても未知のアプリケーションを起動許可せず、一旦起動保留処置をし、クラウド上のスーパーコンピュータで時間をかけて多面監査するグローバル・ホワイトリスト方式を採用したい。善良と判断されたアプリケーションのみ起動許可するため、未知のアプリケーションは起動阻止される。難読化がされている標的型攻撃は、この最新方式でなければエンドポイントを保護することができないことを心に留めておこう。
安全なファイル送信方法
取引先へファイルを送信する最も最良の方法は、OneDrive for businessなどを利用し、特定の電子メールアドレスを利用している利用者にのみ閲覧権限を与えることだ。電子メールで宛先を間違えて送信してしまった際には、アクセス権限を解除するだけで閲覧することができなくなる。メール送信後に閲覧権限の変更が可能とすることができ、誤送信への対処方法として有効だ。
また、Outlookなどの電子メーラーで住所録を元にクリッスで送信先を追加しているしている場合は、誤った送信先をクリックしてしまい、誤送信してしまうケースがある。電子メーラーは誤送信判定機能などを有していないため、利用は避けるべきだ。google Workspace (旧Gsuite)では、1つの宛先を追加すると日頃良く一緒にメール送信する相手先を自動でお勧めしてくれる。この機能を使うと、間違った送信先であったことを気が付きやすい。クラウドならではの機能といえる。過去の使い方に決別し、パソコンがクラッシュして重要なメールデータを紛失した思い出と共に、早急にクラウドへ移行したい。
標的型攻撃に対応できるセキュリティを実装方法
実装方法は以下のとおり
- 電子メールサーバは、脆弱性を抱えない最新の暗号通信に対応させる
- 電子メールサーバは DMARC を設定。DMARCのないメールサーバからは受信拒否もしくは「迷惑メール」へ
- 電子メールサーバにて送受信するメール添付ファイルを監査するセキュリティソフトを実装
- 電子メールサーバに対して上記の知識・運用技術がない場合は、G Suite、Office365を活用(上記を実装済)
- 電子メールサーバ、ファイアウォール装置のAV機能を有効化し、AV監査にかけられないファイルは、 「return-to-sender」(送信者へ差し戻し)設定
- ファイアウォール装置にて送受信するメールの添付ファイル監査(25,110,143,465,587,993,995)、Webダウンロード(80,443)、ftp(20)、SSH(22)などのファイル送受信時にファイアウォール装置のAV監査を有効化
- 画像を送るだけなのにExcelに貼り付ける危険行為を社内外で禁止とし、JPEGかPDFを利用するよう社内啓蒙を行う
- Officeソフトのマクロはオフにし、業務上必要な際にのみ都度オンにし、利用を終えたら即座にオフにする社内ルールの徹底
- そもそもOfficeマクロを業務利用することを廃止していく
- エンドポイント保護(EPP)製品は、軍事レベルであるグローバル・ホワイトリスト方式を採用し、感染に備えEDRも利用
これらを行うことで、標的型攻撃による情報漏洩リスクを大幅に低下させることができる。しかし、「そのことはわかっていても取引先に要請しづらい」という声を受けることがあるが、情報漏洩をしてしまうと企業の社会的信用が大きく低下したり、場合によれば政府調達への入札資格から外されるなどの事業への影響のほうが大きいはずだ。天秤にかけるまでもなく、事業リスクのほうを優先すべきである。社員の誤送信は最新ソリューションで防ぎ、相手先を考慮したソリューションを構築することで社会全体を守ることができる。自己保身ではなく社会全体を俯瞰し社会全体でセキュリティ対策を実施することが国防の要となる。
正しい利用方法を先導することで、社会全体が標的型攻撃からのリスク対策を強くさせることができる。率先して行動すべきはあなたである。そしてその時は、オリンピックにむけて攻撃が高まる今である。
関連コンテンツ: 国家による標的型攻撃ウイルスはリアルタイム防御できない