新3大常識、標的型メール攻撃対策は「守る」「止める」「教える」：NEWS

情報セキュリティの中でも注目が集まる標的型メール攻撃対策について、「情報セキュリティEXPO」と「データストレージEXPO」の展示から防御、制御、検知に関する最新の製品／サービスを紹介する。

[周木 翔，TechTargetジャパン]

　2013年5月8日〜10日の3日間、ITの専門イベント「2013 Japan IT Week」が東京ビッグサイトで開催中だ。今回はこの中でも標的型メール攻撃対策に注目して、「情報セキュリティEXPO」と「データストレージEXPO」で出展されていた最新の製品／サービスを紹介する（写真1）。

写真1：「情報セキュリティEXPO」のエントランス様子（左）。「データストレージEXPO」のエントランス様子

「守る」：攻撃をリアルタイムに可視化

　日本プルーフポイントが展示していた「Proofpoint Targeted Attack Protection」は、標的型メール攻撃に対して攻撃情報をリアルタイムで可視化するSaaSだ（写真2）。クラウド環境で動作するサンドボックス（仮想的なクライアントPC環境）を用意したのが最大の特徴である。

写真2：「Proofpoint Targeted Attack Protection」のアプリケーション画面。分析したファイルや受信してしまった不正ファイルの数が上部に表示され、下部には「月」「週」「日」の単位で統計情報を表示する《クリックで拡大》

　Proofpoint Targeted Attack Protectionには以下4つの特徴がある。

• Block（防御）
• Respond（対応）
• Detect（検知）
• Protect（保護）

　1つ目のBlock（防御）は、悪意のあるWebサイトのURLが記載されていたり、マルウェアが添付されている標的型メールを受信した場合、マルウェアをサンドボックス内で実行して脅威を判定／分析する。サンドボックスは、米Proofpointが運用するデータセンターで稼働させる仕組みだ。

　2つ目のRespond（対応）は、悪意のあるWebサイトを通じてサービス利用者が不正なファイルを受信した場合、専用アプリケーションで攻撃をリアルタイムに可視化し、そのファイルがもたらす脅威とその対応策を利用者に提示する。

　3つ目のDetect（検知）は「Analyticsサービス」で可能にする。Proofpointが独自にモデル化した安全なメールの傾向と導入企業が受信したメールの傾向とを比較し、不審なメールを検知する。メールのドメインとヘッダを分析することで不審なメールかどうかを判定する。

　4つ目のProtect（保護）は、ユーザーが悪意のあるWebサイトへ直接アクセスするのを防ぐ機能だ。受信したメールの本文にURLが記載されていた場合、メール本文のURLをProofpointのデータセンターを経由するように書き換え、メールからURLに対して直接アクセスさせないようにする。

　その他、Proofpoint Targeted Attack Protectionはどの端末のどのユーザーが不正なファイルを受信したかを追跡しており、迅速なインシデント対策に役立つ。価格は、ユーザー数に応じた課金となっており1000ユーザー単位の契約となる。1ユーザー当たりの価格は1年3000円前後だ。初期費用は30万円程度。

「止める」：不審なファイルは実行させないホワイトリスト方式

　ロックインターナショナルが展示していた「Lumensionアプリケーションコントロール」は、実行しても安全であることが分かっている実行ファイルをホワイトリストに定義することで、不正なファイルの実行を防ぐ製品だ（写真3）。

写真3：「Lumensionアプリケーションコントロール」のアプリケーション画面。右にホワイトリストが表示されており、ファイル名、拡張子、パスなどを表示する《クリックで拡大》

　Lumensionアプリケーションコントロールは、安全な実行ファイルのハッシュを作成し、ホワイトリストとして登録してファイルの実行を制御する。ファイルを実行する場合、ホワイトリストに登録されているかどうかを確認し、登録されている場合にファイルの実行を許可する。そのため、未知のマルウェアなどの実行を防ぎ、システム環境をセキュアにできる。

　LumensionアプリケーションコントロールはMicrosoft Officeなどの主要なプログラムを標準でホワイトリストに登録済みだ。さらに、Windows Updateにも対応しており、パッチにより変更された実行ファイルのホワイトリスト登録も自動で行われる。契約は10クライアント／1サーバからとなっている。価格は実行制御に必要なアプリケーションサーバが9万円、アプリケーションコントロールのライセンスが1端末毎8500円（税別）、1年間の保守が総額の20％。

「教える」：対策の1歩はユーザー意識の向上から

　NTTソフトウェアが展示していた「CipherCraft／Mail 標的型メール対策」は、受信されたメールのヘッダ情報を分析し、不審なメールについては警告画面を表示する製品だ（写真4）。

写真4：「CipherCraft／Mail 標的型メール対策」の不審メール警告画面。上部に大きく不審メールであることを通知している

　CipherCraft／Mail 標的型メール対策はメールの送受信履歴から日常的に用いられるメールアドレスを学習するエンジンを搭載しており、不審なメールをクラスタリングして分類する。クラスタリングは、「レシーブドヘッダ」と呼ばれる改ざんが難しいとされるヘッダの一部から判断しており、ヘッダに含まれる送信情報やメールソフトの情報、サーバの情報の類似性を比較することで不審なメールを判定する。

　標的型メール攻撃では、なりすましなどの可能性もあり、本文の内容は一般的に信用できない。そのため、ヘッダによる信頼性の判定が重要となる。この製品はクライアント端末にアプリケーションをインストールすることで導入できるので、容易に対策を講じることが可能だ。価格は1ユーザー4900円（税別）。年間保守料金（初年度必須）が総額の15％分。