システム構築

サーバー構築のデージーネットTOP > システム構築 > メールシステム構築 > 標的型メール攻撃対策システム

構築事例:標的型メール攻撃対策システム

Open Smart Design

標的型攻撃で使われるメールは、送信者を偽装して送信されるものが多いことが知られています。本事例は、オープンソースソフトウェアのSaMMAとENMAを組み合わせて、送信者を偽装したメールの添付ファイルを自動的に削除することで、標的型攻撃を回避する機能を実現したものです。

導入企業業種
IT企業(愛知県名古屋市)
ユーザー規模
40名
利用OS
CentOS 5
導入月
2016年8月頃
お客様が悩まれていた課題
添付ファイル付きの迷惑メールが多数届く
ユーザが、誤ってウィルス付きのメールを開いてしまわないか心配
SPAM対策アプライアンスで、迷惑メールと判定されないメールでも、不要なメールが届いている
顧客の機密情報を預かっているため、標的型攻撃の対策をしておきたい

デージーネットが提案した「標的型メール攻撃対策システム」

解決ポイント

送信者が詐称されている(標的型攻撃の可能性のある)メールから自動的に添付ファイルを削除

2016年3月に発生したJTBの標的型メール攻撃による情報漏洩事件を受けて、不審なメールは開かないようにというユーザ教育だけでは心配だという要望で、システムを導入しました。標的型攻撃で使われるメールの多くは、送信者が偽造されます。そのため、送信者を偽装した、標的型攻撃の可能性の高いメールをシステム側で見分け、ユーザにメールが届く前に対策を行うようにしました。

SaMMAを導入

デージーネットで提供しているSaMMAには、メールから添付ファイルを自動的に削除する機能があります。この機能を使い、メールの添付ファイルを削除することで、標的型メール攻撃の対策を行う方法を提案しました。当初は、標的型攻撃が疑われるメールだけではなく、すべてのメールから添付ファイルを取り除くよう提案しました。添付ファイルが使えなくなるため、ファイルの交換にはOSSのオンラインストレージであるownCloudを利用するという提案でした。しかし、現場からは添付ファイルをまったく使わない運用は不便であるという声があがりました。

そのため、標的型攻撃のメールの特徴に着目しました。標的型攻撃では、メールの送信者が詐称されることが多く、これが大きな被害を引き起こす一つの原因となります。そのため、メールの送信者が詐称されていることをシステムで判定し、標的型攻撃と疑われるメールから添付ファイルを削除することにしました。

SPFを使って、送信者の詐称を見抜く

送信者の詐称を見抜く方法としては、SPFを使うことにしました。SPF検査は、該当ドメインの送信メールサーバのIPアドレスを入手し、実際のメールの送信元と照らし合わせる方法です。この検査をすることで、相手組織が認めた方法で送られたメールなのか、標的型攻撃のメールなのかを見分けることができます。SPFの情報は、該当ドメインのDNSレコードとして入手することができます。

SPFを検査するソフトウェアとしては、ENMAを使いました。ENMAでは、SPFを検査し、その結果をメールヘッダに記録することができます。この検査結果をpostfixでチェックし、送信元が詐称されているメールだけをSaMMAに送り、添付ファイルの削除をするようにしたのです。このような方法により、システムで標的型攻撃と疑わしいメールを自動的に判定し、添付ファイルを削除する仕組みを構築しました。

SPFを設定していない取引先への対応

ところが、この方法ではDNSにSPFレコードを正しく設定していないドメインのメールは、すべて標的型攻撃とみなされてしまいます。事前に弊社で調査をしたところ、約25%の取引先でSPFレコードを正しく設定していないことが分かりました。

この問題を解決するため、DNSキャッシュサーバにunboundを利用することにしました。unboundでは、キャッシュするDNSのデータを必要に応じて追加設定することができます。SPFを公開していない取引先のメールサーバをメールログから調査し、そのアドレスをunboundにSPFとして強制的に設定しました。この手法により、SPFが正しく登録されていないドメインでも問題を回避することができるようになったのです

モバイルユーザへの対応

また、導入前の動作検証の中で、社員が外出中にモバイルPC、スマートフォン、タブレットなどからメールを送信した時に問題が発生すること分かりました。モバイルユーザが社内に送るメールを標的型攻撃のメールと判定してしまうのです。そのため、モバイルユーザが社内に添付ファイル付きのメールを送ると、添付ファイルが削除されてしまったのです。

この組織では、モバイルユーザはsubmissionポートを使ってSMTP AUTHでユーザ認証をすることになっていました。そのため、submissionポートで認証したセッションについては、標的型攻撃の判定を行わないようにしました。この対応を行ったことで、モバイルユーザが標的型攻撃とみなされることはなくなり、これまで同様にメールのやりとりを行うことができるようになったのです。

導入後の結果

標的型攻撃と検知したメールでは、自動的に添付ファイルが削除されるようになりました。そして、替わりにテキストファイルが添付されます。このテキストファイルには、削除された添付ファイルの名称の一覧が記載されてます。迷惑メールに添付されているファイルは、ほとんどが削除されるようになりました。疑わしいメールが分かりやすくなり、またウィルスに感染する危険性も減ったことで、安心して使えるようになりました。また、事前に取引先のSPFを調べて対策を行ったため、トラブルも発生せず、円滑に導入することができました。

ただ、新たな取引先が増えた時に、誤って添付ファイルが削除されてしまうことがあります。その場合には、申請フローにしたがって管理者に連絡することになっています。管理者が申請に基づいて調査を行い、unboundに設定を追加します。送信元にメールを再送してもらう手間は掛かりますが、より安全な運用をしている安心感の方が勝っているということです。




利用OSS

SaMMAについて

SaMMAは、デージーネットが開発し、管理しているオープンソースソフトウェアです。元々、添付ファイルを自動的にZIP暗号化するゲートウェイプログラムとして開発されました。2016年に、標的型攻撃の対策のために、添付ファイルを自動削除するモードが追加されました。現在も、標的型攻撃の対策のための追加機能の開発が続けられています。

ENMAについて

ENMAは、IIJが開発したメールの送信ドメイン認証を行うオープンソースソフトウェアです。SPFとDKIMの両方の規格にしたがってメールをチェックすることができます。ENMAは、メールのチェック結果をメールヘッダに記録します。この事例では、この機能とSaMMAを組み合わせて、標的型攻撃の対策を行っています。

unbnoundについて

unboundは、DNSキャッシュサーバとして動作するオープンソースソフトウェアです。以前によく使われていたbindに比べて、キャッシュポイズニング攻撃に強いのが特徴です。RedHat Enterprise LinuxやCentOSにも標準で採用されています。unboundは、キャッシュの制御が柔軟に行えます。また、誤った登録をしたサイトの情報を意図的に書き換える機能を持っています。本事例では、この機能を活用して、SPFが正しく設定されていない相手からのメールを標的型攻撃と判定してしまう場合の回避を行っています。

標的型メール攻撃対策システムの関連ページ

メールシステム構築の事例一覧

様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。

モデルプランをご希望の方

各種費用についてのお問い合わせ

コンサルティング費用、設計費用、構築費用、運用費用、保守費用など、各種費用についてのお見積もりは以下のフォームよりお気軽にお問合せ下さい。

unboundやPowerDNSを使用したDNSサーバのモデルプランをご希望の方

標的型メール攻撃対策システムの先頭へ