会社のシステム担当者から「メールに添付されたファイルを開くときは、取引先であるかを注意深く確認してから開いてください」と言われた人も少なくないのではないだろうか。しかし、実際に判別することは可能なのだろうか。現在、悪意ある者からの偽メールは実在する取引先のメールアドレスで送信されてくることが多く確認されている。(※)
日常的にメールをやりとりしている相手から「緊急の連絡」といった件名で、特に違和感もない日本語で本文が記載されていたら、word形式の添付ファイルを開かない人はほとんどいないはずだ。添付ファイルを開くことが業務なのだから。それでウイルス感染したとして、開いた社員を攻めることはできない。
新聞やテレビなどで、こうした偽メールによるウイルス感染は巧妙であり、回避しがたい事象であるような報道がなされることがある。確かにブラックリスト方式の過去のエンドポイント保護では難しい。なぜなら添付ファイルは高度に作成されていて、インターネット上から悪意あるプログラムを即座にダウンロードして実行に移すからだ。
ダウンロードされたアプリケーションは、難読化と呼ばれる元々軍事用技術として開発された手法を用いて作成されている。プログラムを容易にリバースエンジニアリングできなくしており、エンドポイント保護で一般的に利用されている「コードスキャニング」という手法が数秒で完了しないからだ。このため、プログラムの監査をパソコン内で数秒以内に完了させることを目的としている従来のエンドポイント保護製品では判別することができず、起動を許可してしまう。
また標的型攻撃と呼ばれる「特定の企業内でのみ活動する悪意あるウイルス」が一般的になってきている。カプコンやホンダなどを昨年を狙ったウイルスがそれだ。活動しているパソコンのインターネット・ゲートウェイアドレスのドメイン名が目的の企業であった場合のみ活動を行う。
この難読化と特定企業でのみ活動する2つの要素に加え、時限や特定のキーを押した場合のみ活動が開始するというものが多く発見されている昨今においては、ウイルスであるかの監査を数秒でパソコン内で行うということが限界に来ているのは、紛れもない事実であるが、このことを報道しているマスコミはほとんど見かけない。
こうした複雑に開発されている昨今の悪意あるプログラムの監査はパソコン内で実施すると途方もない時間を要することになる。また過去のビッグデータとの照合も必要となるため、クラウド上でしか事実上監査することができない。うちの製品は人工知能を活用してクラウド上で監査を行っているとする次世代製品も感染したプログラムをクラウドに伝送し、同様の手法をもちいたプログラムを阻止するために活用しているにすぎない製品が大半である。
1つの実行ファイル(異なるMD5)に対して、世界中で分類されていないものは、一切パソコンにて起動を許可せず、クラウドに伝送し、膨大なリソースを用いて複数の悪意点を監査し、安全と見極められた場合のみ利用可能とする「グローバルホワイトリスト方式」が脚光を浴びており、4年以上世界中の利用者が標的型攻撃、ランサムウェア、スパイウェアなどに影響を受けることなく安全に利用できている。
悪意ある添付ファイルを開いても、そのファイルが実行してインターネットより即座になにか実行ファイルをダウンロードしてきても、善良と分類されていないMD5をもつものであれば、起動は許可されない。なにも考えずに添付ファイルを開いて安全だということだ。
「考えずにファイルを開いて感染させてしまった社員を追及する」のではなく、感染しないソリューションを導入することで、こうした社内でのトラブルを回避することはできる。そのことをもっと広く知って欲しい。
グローバルホワイトリスト方式に対応しているソリューションで入手可能製品は、PC Matic PROと、Microsoft Defender Advanced Threat Protection (法人製品:要別途契約)のみだ。SIerなどへ他力本願ではなく、情報システム部門が世界中からどのようなソリューションが存在しているのか、自ら学びがこのことに関わらず求められている。
※取引先のメールアドレスで偽メールが届く理由
(1)メールサーバが暗号通信に未対応 (自社,取引先)
(2)メールサーバがSPF, DKIM, DMARCに未対応
