恐るべきメール攻撃の実態とは？

企業や組織にとってメールは、いまやビジネスコミュニケーションに欠かすことのできないインフラとなっている。その点は情報や金銭を狙うサイバー攻撃者にとっても同じだ。シスコシステムズが発行する最新の「2016年 シスコ年次セキュリティレポート」によると、サイバーの脅威全体の93％をメールやWebが占める状況にある。

特にメールは、攻撃者が狙った相手にマルウェアを投下させる手段として使われる。その方法は。メールにマルウェアを忍ばせたファイルを添付して送り付け、相手に開かせて感染させたり、メールに記載したリンクから不正サイトに誘導して、Web経由でマルウェアをダウンロードさせたりするものだ。

シスコシステムズは、世界最大級のセキュリティ脅威の観測、分析、研究体制「Talos」を運営する。同社では平均4600億通/日（取材時）のメールを観測しており、これは世界中のメールの35％近くを占める規模だ。600名以上のエンジニアや専門家、研究者が24時間体制で、全世界に設置された160万台のシスコシステムズ製品からビッグデータを収集し、進化を続ける最新の脅威に対してもタイムリーな対策を講じている。 シスコシステムズは全世界のメールの3分の1以上を毎日観測し、大量のスパムメールだけでなく、ごく少数の標的型攻撃メールも捉えて分析し、セキュリティ対策につなげている。

シスコシステムズ セキュリティ事業
コンサルティングシステムズエンジニアの國分直晃氏

同社セキュリティ事業 コンサルティングシステムズエンジニアの國分直晃氏によると、同社が2015年に観測したメールの86％は迷惑メール（スパムメール）だった。スパムメールは悪質な送信元のブラックリストなどを使うことで特定や遮断ができるが、やっかいなことに、実は残りの14％の中に高度で巧妙な手口を使う攻撃メールが紛れ込んでいる点だ。

「直近ではランサムウェアの脅威があります。例えば、『Angler』と呼ばれるツールを使用した攻撃では1日あたり最大9万人が被害に遭いました。2015年の被害総額は約3400万ドル（約39億円）ですが、2016年は4000億円に拡大すると予想しています」（國分氏）

ランサムウェアは、実在する組織からの連絡や仕事のやり取りといった正規のメールになりすます手口や、改ざんされたWeサイトなどを通じて感染する。感染先のコンピュータのファイルを暗号化して使用不能にさせ、ユーザーに「暗号化を解除してほしいなら金銭を振り込むように」と要求する犯罪だ。要求額は数万円程度だが、金銭を支払っても元に戻るケースはほとんどなく、企業や組織で感染被害が起きれば仕事がストップしかねない。

國分氏によるとサイバー攻撃に悪用されるサーバの規模は、日本を1とした場合、中国では4倍、香港では9倍も多く、一方でオーストラリアなどは半分の0.5だという。かつて日本は“言語の壁”から海外のサイバー攻撃とは無縁だと考えられていたが、実際には世界と同様に危険な状況にあることが分かった。またサイバー攻撃者は、メールで新しい攻撃手法を用いる傾向にあるといい、例えば、「Snowshoe」と呼ばれる攻撃は、サーバから攻撃メールを少しずつ送信することで、セキュリティベンダーによる検知を逃れようとする。

標的型攻撃の流れ

あらゆる攻撃メールを見逃さない最新対策

こうした現在の脅威には、メールとWebをカバーするセキュリティ対策が必要であり、特に企業や組織では従業員へ脅威が直接到達しかねないメールのセキュリティ対策が大きなポイントになる。そこで注目したいのが、世界最大規模のセキュリティ監視体制を持つシスコシステムズの「Cisco Email Security Appliance（Cisco ESA）」だ。

販売開始から10年以上の歴史を持つCisco ESAは世界中の企業で利用され、実績と信頼を兼ね備えたメールセキュリティアプライアンスとして知られる。しかし、そのセキュリティ対策技術は常に進化し続けており、1台のアプライアンスで既知の攻撃から未知の手法を使う攻撃にまで対応できるのが強みだ。

Cisco ESAでは企業や組織が毎日受信する膨大なメールの中から、まずスパムメールは世界最大級の監視網で分析した送信元情報や各種のアンチスパム、アンチウイルスのエンジンを使ってこれを検知、除去しており、検出率は86％に達する。スパム判定されない14％のメールは、その中に潜む標的型サイバー攻撃などの未知の脅威を最新の検知技術によって見つけ出す。

Eメールの保護

例えば、「Advanced Malware Protection」機能では添付ファイルのハッシュ値をリアルタイムに更新される同社のデータベースに照会し、最新の脅威を捉える。未知のファイルの場合は、ファイルをクラウド上のサンドボックス環境で詳細に検査し、脅威を特定する。また、サンドボックスの検査で“その時は”悪意のある振る舞いをせずに、後にマルウェアと分かったものについても「ファイルレトロスペクティブ」の機能で、管理者にアラートを飛ばすことが可能だ。これによりすり抜けてしまった場合の対処が可能になる。そして、メール内に不正サイトへのリンクを埋め込む手口には、「アウトブレイクフィルタ」機能がそのリンクを同社のクラウドへ接続するように変更し、クラウド上のサンドボックス環境で誘導先サイトを解析する。リアルタイムに更新される情報により、出現から短時間で消滅するフィッシングサイトへの誘導も高い精度でブロックしてくれる。

Cisco ESAは、こうした多層的な機能によって99.6％の攻撃メールを検知できるという。万一攻撃メールが検知されない場合でも、リアルタイムに提供される対策情報を使ってマルウェアなどの脅威を拡散する前に食い止める。また、解析情報をもとに攻撃メールからマルウェアが侵入するまでの詳しい状況を追跡調査し、レポートとして出力できる。

シスコシステムズでは世界中の脅威動向を一般にも広く提供すると同時に、セキュリティ機関と連携して脅威への対策に日々あたっている。企業や組織がメールやWebを巧妙に使う脅威へ対抗するには、同社のようなユーザーを守る強力な存在が不可欠だ。

この記事は、「ITmediaエンタープライズ」に2016年3月に掲載されたコンテンツを再構成したものです。
http://www.itmedia.co.jp/enterprise/articles/1603/29/news001.html