- 標的型攻撃対策のOSS〜SaMMA〜
- ここでは、SaMMAの標的型攻撃対策の機能とデージーネットのサポートについてご紹介します。
- 標的型攻撃対策の構成例
- SaMMAの機能を使って、様々な形で標的型攻撃対策を行うことができます。このページでは、SaMMAによる標的型攻撃対策システムの構成例をご紹介します。
- 標的型攻撃対策OSS「SaMMA」の
よくある質問 - このページでは、SaMMAや標的型メール攻撃に関してお客様からよくいただくご質問にお答えしていきます。
サーバー構築のデージーネットTOP > OSS情報 > 一押しOSS > 標的型攻撃対策のOSS〜SaMMA〜
標的型攻撃対策のOSS〜SaMMA〜
SaMMAはデージーネットで開発した添付ファイルを処理するOSSです。近年、標的型攻撃やランサムウェアなどの被害が増加しています。特に標的型攻撃では、メールが使われることが多くなっています。SaMMAは、メールの添付ファイルに様々な処理をすることにより、標的型攻撃を未然に防ぐことができます。
デージーネットでは、SaMMAの商用サポート、SaMMAを利用した標的型メール攻撃対策が可能なシステムの構築、コンサルティングを行っています。
SaMMAとは?
SaMMAは、デージーネットが開発した、オープンソースソフトウェアです。メールの、添付ファイルを操作する機能を持っています。次の2つの機能があります。
- 添付ファイルを自動的にZIP暗号化して送信する
- 添付ファイルを取り除いたり、加工したりして標的型攻撃に備える
ここでは、後者の機能を使った標的型攻撃対策について解説します。
標的型攻撃対策: 無害化設定の画面例
標的型攻撃の手口と対策
メールを使って行なわれる標的型攻撃では、取引先などを装ってメールが送られてきます。最近は、非常に手口が巧妙になり、標的型攻撃のメール本文はもちろん日本語です。そして、添付ファイルを開きたくなるような文章が書かれています。
以前は、利用者の注意で気をつけるという対策で充分でしたが、このような巧妙な手口で送られて来た標的型メールを利用者がすべて正確に見分けることは難しくなっています。
標的型メール攻撃を1通でも見逃せば、トロイの木馬やランサムウェアなどに感染し、組織のコンピュータネットワークに大きな被害を与える可能性があります。もし、標的型攻撃などにより、実際に重要な取引先のサーバが乗っ取られ、そこから標的型メール攻撃を受けた場合には、それを検出することは非常に難しくなります。
しかし、そのような攻撃はまれで、ほとんどの標的型メール攻撃はあくまで取引先を詐称したものに過ぎません。そのため、詐称していることをシステム的に検知することができれば、標的型メール攻撃を未然に防ぐことが可能になります。
標的型攻撃に関するSaMMAの機能
SaMMAの標的型対策の機能は、大きく分けてメールの検証機能と、添付ファイルの処理の二つに分けられます。まず、メールを検証し、標的型攻撃かどうかシステムで見分けます。そして、標的型攻撃と判定された場合には、添付ファイルを削除したり、PDFにしたりして、標的型攻撃対策を実施するという流れになります。
標的型攻撃の検証機能
SaMMAは、メールの送信元の情報を元に、メールの送信者が妥当であるかを検証します。次のような検証を行うことで、標的型メールを見分けます。
- SPFが妥当なサーバから送信されているか
- メールがDNSのMXに登録されているサーバから送信されているか
- 送信者のIPアドレスを逆引きして得られるドメインと、メールの送信者のドメインが一致するか
このように複数の検証を行い、メールが標的型攻撃かどうかを判定します。
標的型攻撃と判定されたメールの【添付ファイルの処理】
標的型攻撃だと判定したメールに対して、次のような処理を行うことができます。
添付ファイルの削除処理
標的型攻撃対策として、添付ファイルを削除し、削除したファイル名を受信者に知らせます。
添付ファイルのコンバート
標的型攻撃と判定したメールの添付ファイルを、外部プログラムを使って変換することができます。しかも、添付ファイルのMIME TYPEや拡張子によって、標的型攻撃対策の処理を変えることができます。標的型メール攻撃が疑われる場合、例えば、次のような対策ができます。
- テキストファイルは変換を行わない
- テキストファイルに記載されているURLを削除または変換する
- HTMLファイルをテキスト化する
- OfficeファイルをPDFに変換する
- PDFファイルを画像化する
- exeファイルの中身を空にする
- 変換を行い、ファイルを特定のフォルダに隔離する
alternate指定のメールの処理
添付ファイルではなく、alternate指定がされているメールに対する標的型攻撃対策も行えます。alternateは、テキストとHTMLの両方の形式でメール本文を送るために使われます。使い方によっては、ボイスメールや動画メールなども作ることができます。テキスト以外の形式の場合には標的型攻撃で使われる可能性があるため、テキスト形式だけを残し他の形式を消す対策ができます。
HTMLメールのテキスト化や削除
HTML形式のメールは、標的型攻撃に使われる可能性があります。そのため、HTML形式しかないメールを受け取った場合、標的型攻撃対策として、HTMLのタグを取り除きテキストに変換する対策が可能です。
添付ファイルの隔離ZIP
標的型攻撃メールと疑われるメールを削除するのではなく、暗号ZIP化して添付して利用者に送ります。ユーザはパスワードを持っていませんので、標的型攻撃と疑わしいメールの添付ファイルを見ることができなくなるという仕組みです。システム管理者は、この暗号ZIPのパスワードを見ることができます。そのため、管理者が確認して安全だと判断した場合には、暗号パスワードを使って添付ファイルを取り出すことができます。
万一必要なメールを標的型攻撃と誤検知してしまった場合でも、添付ファイルを復元できる便利な仕組みです。
標的型メール攻撃対策サーバの構築とサポート
デージーネットでは、SaMMAを使った標的型メール攻撃対策システムの構築サービスを行なっています。また、SaMMAに対する商用サポートも提供しています。SaMMA商用サポートでは、次のようなサポートを提供します。
- インストレーションサポート(当初1ヶ月のみ)
- SaMMAパッケージレポジトリへのアクセス
- インストールマニュアルの提供
- インシデントサポート
標的型攻撃対策のOSS「SaMMA」
標的型対策サーバ「構築事例/情報の一覧」
標的型メール攻撃対策システム
標的型攻撃で使われるメールは、送信者を偽装して送信されるものが多いことが知られています。本事例は、オープンソースソフトウェアのSaMMAとENMAを組み合わせて、送信者を偽装した標的型メールの添付ファイルを自動的に削除することで、標的型攻撃を回避する機能を実現したものです。
標的型メール攻撃対策の情報一覧
「標的型攻撃対策」に関する導入事例やデージーネットの取り組みのページ一覧です。「標的型攻撃対策」について情報を収集する際やサービスをご検討いただく際などにお役立てください。
SaMMA ZIP無害化プラグイン「標的型メール攻撃対策の機能を拡張」
SaMMA ZIP無害化プラグインは、標的型メール攻撃対策で、SaMMAの添付ファイル無害化機能を拡張するためのプラグインです。デージーネットが開発しオープンソースとして公開しています。