オープンソース

サーバー構築のデージーネットTOP > OSS情報 > 一押しOSS > OSSの標的型攻撃対策ソフト SaMMA

OSSの標的型攻撃対策ソフト SaMMA

近年、標的型攻撃やランサムウェアなどの被害が増加しています。こうした攻撃の起点としてメールが使われることが多くなっています。SaMMAは、メールの添付ファイルに様々な処理をすることにより、攻撃を未然に防ぐことができます。

目次

SaMMAとは?

SaMMAは、デージーネットが開発した、オープンソースソフトウェアです。メールの、添付ファイルを操作する機能を持っています。次の2つの機能があります。

  • 添付ファイルを自動的にZIP暗号化して送信する
  • 添付ファイルを取り除いたり、加工したりする

ここでは、後者の機能を使った標的型攻撃対策について解説します。

標的型攻撃の手口と対策

メールを使って行なわれる標的型攻撃では、取引先などを装ってメールが送られてきます。最近は、非常に手口が巧妙になり、メールの本文はもちろん日本語です。そして、添付ファイルを開きたくなるような文章が書かれています。
以前は、利用者の注意で気をつけるという対策で充分でしたが、このような巧妙な手口で送られて来たメールを利用者がすべて正確に見分けることは難しくなっています。

もし、1通でも見逃せば、トロイの木馬やランサムウェアなどに感染し、組織のコンピュータネットワークに大きな被害を与える可能性があります。 もし、実際に重要な取引先のサーバが乗っ取られ、そこから攻撃を受けた場合には、それを検出することは非常に難しくなります。

しかし、そのような攻撃はまれで、ほとんどの攻撃はあくまで取引先を詐称したものに過ぎません。そのため、詐称していることをシステム的に検知することができれば、攻撃を未然に防ぐことが可能になります。

SaMMAの標的型攻撃に関する機能

SaMMAの標的型対策の機能は、大きく分けてメールの検証機能と、添付ファイルの処理の二つに分けられます。

標的型攻撃の検証機能

SaMMAは、メールの送信元の情報を元に、メールの送信者が妥当であるかを検証します。次のような検証がサポートされています。

  • SPFが妥当なサーバから送信されているか
  • メールがDNSのMXに登録されているサーバから送信されているか
  • 送信者のIPアドレスを逆引きして得られるドメインと、メールの送信者のドメインが一致するか

このように複数の検証を行い、メールが標的型攻撃かどうかを判定します。

添付ファイルの処理

処理対象だと判定したメールに対して、次のような処理を行うことができます。

添付ファイルの削除処理

すべての添付ファイルを削除し、削除したファイル名を受信者に知らせます。

添付ファイルのコンバート

添付ファイルを外部プログラムを使って変換することができます。しかも、添付ファイルのMIME TYPEや拡張子によって、処理を変えることができます。例えば、次のようなことができます。

  • テキストファイルは変換を行わない
  • テキストファイルに記載されているURLを削除または変換する
  • HTMLファイルをテキスト化する
  • OfficeファイルをPDFに変換する
  • PDFファイルを画像化する
  • exeファイルの中身を空にする
  • 変換を行い、ファイルを特定のフォルダに隔離する

alternate指定のメールの処理

添付ファイルではなく、alternate指定がされているメールに対する処理も行えます。alternateは、テキストとHTMLの両方の形式でメール本文を送るために使われます。使い方によっては、ボイスメールや動画メールなども作ることができます。テキスト以外の形式の場合には標的型攻撃で使われる可能性があるため、テキスト形式だけを残し他の形式を消すことができます。

HTMLメールのテキスト化や削除

HTML形式しかないメールを受け取った場合、HTMLのタグを取り除きテキストに変換することができます。

添付ファイルの隔離ZIP

標的型攻撃メールと疑われるメールを削除するのではなく、暗号ZIP化して添付して利用者に送ります。ユーザはパスワードを持っていませんので、添付ファイルを見ることができなくなるという仕組みです。システム管理者は、この暗号ZIPのパスワードを見ることができます。そのため、管理者が確認して安全だと判断した場合には、暗号パスワードを使って添付ファイルを取り出すことができます。
万一必要なメールを誤検知してしまった場合でも、添付ファイルを復元できる便利な仕組みです。

SaMMAを使った標的型攻撃対策の構成例

このようなSaMMAの機能を使って、様々な形で標的型攻撃対策を行うことができます。ここでは、SaMMAの構成例をいくつか紹介します。

構成例1: 添付ファイルをすべて削除

組織外と添付ファイルを使ったファイル交換を禁止する構成です。添付ファイルが発見された場合には、すべて削除します。ファイルの交換が必要な場合には、ファイル交換サービスなどを利用します。

標的型攻撃への対策として添付ファイルをすべて削除する構成例

ファイル交換サービスは、Google Driveなどのインターネット上のサービスを利用することもできます。しかし、厳密にはこうしたサービスからのダウンロードが標的型攻撃に利用される可能性もあるため、ファイル交換用サーバを自社で用意するのが安全です。自社から添付ファイルを送付する場合には、自社サーバの専用のダウンロードURLを通知します。外部から添付ファイルを送ってもらう場合には、取引先に専用のアカウントを用意しファイルをアップロードしてもらいます。

デージーネットでは、ファイル交換のプラットフォームとして、ownCloudを利用することを推奨しています。 なお、設定のバリエーションとして、特定の取引先からのメールだけは削除しないように設定することもできます。

構成例2: 標的型攻撃と疑わしい場合に添付ファイルを削除または隔離ZIP化

添付ファイルを利用する場合でも、安全なメールしか受け取らない最もセキュアな構成です。利便性の低下や管理者の負荷があっても、高い安全性を確保しなければならない場合に利用します。取引先が限られている場合や、子会社などに限られる場合に利用すべき構成です。

標的型攻撃と疑わしい場合に添付ファイルを削除または隔離ZIP化する構成例

この方法では、標的型攻撃と疑わしいメールをすべて削除または暗号ZIP化してしまいます。メールの検査は、SaMMAの標的型攻撃の検証機能を使って行ないます。取引先が正しくSPFレコードなどを設定していれば、メールが削除されることはありません。

ただし、デージーネットでこの機能を導入したところ、SPFレコードが登録されていなかったり、登録されていても誤っていたりするケースが多くありました。そのような場合のために、MXサーバからの送信であれば制限しない機能やドメインの逆引きチェックの機能が導入されました。

しかし、これらの機能をすべて使っても正しい送信元だと判定できない場合があります。そのような場合には、取引先にSPFレコードの適切な設定を促すとともに、自社内でも回避の設定を行ないます。取引先から届いたメールを分析し、相手サーバのメールの振る舞いを解析します。そして、DNSキャッシュサーバにローカルデータとして相手先サーバのSPFレコードを仮登録することで誤検知を回避します。

構成例3: ウィルスチェックやSPAMチェックを行い、問題があれば添付ファイルを隔離ZIP化

既存のウィルス/SPAMチェックアプライアンスなどと組み合わせて動作させる方式です。一般的に、ウィルスやSPAMと判定されたメールは、アプライアンスの隔離機能を使って隔離することもできます。しかし、隔離機能を持った製品は高価です。

また、規模によっては一台のアプライアンスで処理することができず、隔離したファイルの取扱いに困ることがあります。 このような場合には、アプライアンスでウィルス/SPAMチェックを行ない問題のあるメールのヘッダやサブジェクトにマークを付けます。このマークが付いたメールをSaMMAに渡し、添付ファイルを削除したり隔離ZIP化した上でユーザに配送することができます。

標的型攻撃への対策としてウィルスチェックやSPAMチェックを行い、添付ファイルを隔離ZIP化する構成例

構成例4: LibreOfficeと連携し、添付ファイルをPDF化

削除や隔離ZIP化では煩雑という場合には、標的型攻撃と疑わしいメールの添付ファイルをPDFなどに変換する方法があります。ウィルス、トロイの木馬、ランサムウェアなどが潜んでいる可能性が高いファイルは、Word、Excel、Powerpoint、PDF、EXEファイルなどです。これらのファイルに対策を行なうことで、攻撃のほとんどを回避することができます。

標的型攻撃への対策としてLibreOfficeと連携し、添付ファイルをPDF化する構成例

このような構成では、EXEファイルは極めて危険ですので削除します。Word、Excel、PowerPointは、Linuxサーバ上で動作するOSSのオフィススイートであるLibreOfficeを使ってPDFに変換します。PDFは、1ページずつ画像化するのが一般的です。LibreOfficeは、感染を避けるためsandbox内で動作させます。

構成例5: Votiroと連携し、添付ファイルをサニタイズ

標的型攻撃は、Word、Execlのマクロとして不正な処理を実行させたり、PDFのスクリプト機能を使って不正な処理を実行させるような方法で行なわれます。そのため、マクロやスクリプトだけをファイルから削除することができれば、攻撃を回避することができます。このような手法をサニタイズと呼びます。ファイルのサニタイズを行なう技術としては、Votiroの製品が非常に優れています。

SaMMAは、Votiroと連携する機能を持っています。標的型攻撃と疑わしいメールの添付ファイルをサニタイズしたり、特定の拡張子を持つ添付ファイルをすべてサニタイズすることができます。SaMMAでは、Votiro製品を単独で使うよりも、きめ細かな制御できるようになります。

標的型攻撃への対策としてVotiroと連携し、添付ファイルをサニタイズする構成例

構成例6: 添付ファイルを処理したメールと、元メールを別々に配送

これまでの1∼5の構成と組み合わせて、さらに元メールを別のサーバに送ることもできます。自治体ネットワークの強靭化の取り組みでは、こうした構成が使われることが多くなっています。

標的型攻撃への対策として添付ファイルを処理したメールと、元メールを別々に配送する構成例

メールの複製には、デージーネットが開発したOSSであるMADAIを利用します。MADAIは、メールを複製して、本来のメールサーバとは別のサーバに配送する機能を持っています。 例えば、内部ネットワークに配送するメールからは添付ファイルを削除します。

SaMMAは、削除したメールのファイル名などの情報のみをログとして元メールに添付して配送します。この情報を見て、添付ファイルの内容を見る必要があるかを判断します。実際に添付ファイルの内容を見る場合には、検疫ネットワークに配置されたPCから元メールを参照します。

SaMMAの構築とサポート

デージーネットでは、SaMMAを使ったシステムの構築サービスを行なっています。また、SaMMAに対する商用サポートも提供しています。SaMMA商用サポートでは、次のようなサポートを提供します。

  • インストレーションサポート(当初1ヶ月のみ)
  • SaMMAパッケージレポジトリへのアクセス
  • インストールマニュアルの提供
  • インシデントサポート

関連ページ

デージーネットのサポート

OSSの標的型攻撃対策ソフト SaMMAの先頭へ