オープンソース

サーバー構築のデージーネットTOP > OSS情報 > 一押しOSS > 標的型攻撃対策OSSのSaMMA

標的型攻撃対策OSSのSaMMA

SaMMAはデージーネットで開発した添付ファイルを処理するOSSです。近年、標的型攻撃やランサムウェアなどの被害が増加しています。こうした攻撃の起点としてメールが使われることが多くなっています。SaMMAは、メールの添付ファイルに様々な処理をすることにより、攻撃を未然に防ぐことができます。

デージーネットでは、SaMMAの商用サポート、SaMMAを利用した標的型メール攻撃対策が可能なシステムの構築、コンサルティングを行っています。

SaMMAとは?

SaMMAは、デージーネットが開発した、オープンソースソフトウェアです。メールの、添付ファイルを操作する機能を持っています。次の2つの機能があります。

  • 添付ファイルを自動的にZIP暗号化して送信する
  • 添付ファイルを取り除いたり、加工したりする

ここでは、後者の機能を使った標的型攻撃対策について解説します。


図: 無害化設定の画面例

標的型攻撃対策画面

標的型攻撃の手口と対策

メールを使って行なわれる標的型攻撃では、取引先などを装ってメールが送られてきます。最近は、非常に手口が巧妙になり、メールの本文はもちろん日本語です。そして、添付ファイルを開きたくなるような文章が書かれています。
以前は、利用者の注意で気をつけるという対策で充分でしたが、このような巧妙な手口で送られて来たメールを利用者がすべて正確に見分けることは難しくなっています。

もし、1通でも見逃せば、トロイの木馬やランサムウェアなどに感染し、組織のコンピュータネットワークに大きな被害を与える可能性があります。 もし、実際に重要な取引先のサーバが乗っ取られ、そこから攻撃を受けた場合には、それを検出することは非常に難しくなります。

しかし、そのような攻撃はまれで、ほとんどの攻撃はあくまで取引先を詐称したものに過ぎません。そのため、詐称していることをシステム的に検知することができれば、攻撃を未然に防ぐことが可能になります。

SaMMAの標的型攻撃に関する機能

SaMMAの標的型対策の機能は、大きく分けてメールの検証機能と、添付ファイルの処理の二つに分けられます。

標的型攻撃の検証機能

SaMMAは、メールの送信元の情報を元に、メールの送信者が妥当であるかを検証します。次のような検証がサポートされています。

  • SPFが妥当なサーバから送信されているか
  • メールがDNSのMXに登録されているサーバから送信されているか
  • 送信者のIPアドレスを逆引きして得られるドメインと、メールの送信者のドメインが一致するか

このように複数の検証を行い、メールが標的型攻撃かどうかを判定します。

添付ファイルの処理

処理対象だと判定したメールに対して、次のような処理を行うことができます。

添付ファイルの削除処理

すべての添付ファイルを削除し、削除したファイル名を受信者に知らせます。

添付ファイルのコンバート

添付ファイルを外部プログラムを使って変換することができます。しかも、添付ファイルのMIME TYPEや拡張子によって、処理を変えることができます。例えば、次のようなことができます。

  • テキストファイルは変換を行わない
  • テキストファイルに記載されているURLを削除または変換する
  • HTMLファイルをテキスト化する
  • OfficeファイルをPDFに変換する
  • PDFファイルを画像化する
  • exeファイルの中身を空にする
  • 変換を行い、ファイルを特定のフォルダに隔離する

alternate指定のメールの処理

添付ファイルではなく、alternate指定がされているメールに対する処理も行えます。alternateは、テキストとHTMLの両方の形式でメール本文を送るために使われます。使い方によっては、ボイスメールや動画メールなども作ることができます。テキスト以外の形式の場合には標的型攻撃で使われる可能性があるため、テキスト形式だけを残し他の形式を消すことができます。

HTMLメールのテキスト化や削除

HTML形式しかないメールを受け取った場合、HTMLのタグを取り除きテキストに変換することができます。

添付ファイルの隔離ZIP

標的型攻撃メールと疑われるメールを削除するのではなく、暗号ZIP化して添付して利用者に送ります。ユーザはパスワードを持っていませんので、添付ファイルを見ることができなくなるという仕組みです。システム管理者は、この暗号ZIPのパスワードを見ることができます。そのため、管理者が確認して安全だと判断した場合には、暗号パスワードを使って添付ファイルを取り出すことができます。
万一必要なメールを誤検知してしまった場合でも、添付ファイルを復元できる便利な仕組みです。

SaMMAの構築とサポート

デージーネットでは、SaMMAを使ったシステムの構築サービスを行なっています。また、SaMMAに対する商用サポートも提供しています。SaMMA商用サポートでは、次のようなサポートを提供します。

  • インストレーションサポート(当初1ヶ月のみ)
  • SaMMAパッケージレポジトリへのアクセス
  • インストールマニュアルの提供
  • インシデントサポート

一押しOSS情報 「SaMMA」

標的型攻撃対策OSSのSaMMA
ここでは、SaMMAの標的型攻撃対策の機能とデージーネットのサポートについてご紹介します。
標的型攻撃対策の構成例
SaMMAの機能を使って、様々な形で標的型攻撃対策を行うことができます。このページでは、SaMMAの構成例をご紹介します。
SaMMAの標的型攻撃対策 よくある質問
このページでは、SaMMAや標的型メール攻撃に関してお客様からよくいただくご質問にお答えしていきます。

標的型メール攻撃対策システム

標的型攻撃で使われるメールは、送信者を偽装して送信されるものが多いことが知られています。本事例は、オープンソースソフトウェアのSaMMAとENMAを組み合わせて、送信者を偽装したメールの添付ファイルを自動的に削除することで、標的型攻撃を回避する機能を実現したものです。

標的型メール攻撃対策の情報一覧

「標的型攻撃対策」に関する導入事例やデージーネットの取り組みのページ一覧です。「標的型攻撃対策」について情報を収集する際やサービスをご検討いただく際などにお役立てください。

標的型攻撃対策OSSのSaMMAの先頭へ