構築事例:標的型メール攻撃対策システム
標的型攻撃で使われるメールは、送信者を偽装して送信されるという特徴があります。本事例は、オープンソースソフトウェアのSaMMAとENMAを組み合わせて、送信者を偽装したメールの添付ファイルを自動的に削除することで、標的型攻撃を回避する機能を実現したものです。
- お客様が悩まれていた課題
- 添付ファイル付きの迷惑メールが多数届く
- ユーザが、誤ってウィルス付きのメールを開いてしまわないか心配
- SPAM対策アプライアンスで、迷惑メールと判定されないメールでも、不要なメールが届いている
- 顧客の機密情報を預かっているため、標的型攻撃の対策をしておきたい
- +導入企業プロフィール
- ★
導入企業業種
情報・通信(愛知県名古屋市)
ユーザー規模
40名
利用OS
CentOS 5
導入月
2016年8月頃
デージーネットが提案した「標的型メール攻撃対策システム」
送信者が詐称されている(標的型攻撃の可能性のある)メールから自動的に添付ファイルを削除
2016年3月に発生したJTBの標的型メール攻撃による情報漏洩事件を受けて、不審なメールは開かないようにというユーザ教育だけでは心配だという要望で、システムを導入しました。標的型攻撃で使われるメールの多くは、送信者が偽造されます。そのため、送信者を偽装した、標的型攻撃の可能性の高いメールをシステム側で見分け、ユーザにメールが届く前に対策を行うようにしました。
SaMMAを導入
デージーネットで提供しているSaMMAには、メールから添付ファイルを自動的に削除する機能があります。この機能を使い、メールの添付ファイルを削除することで、標的型メール攻撃の対策を行う方法を提案しました。当初は、標的型攻撃が疑われるメールだけではなく、すべてのメールから添付ファイルを取り除くよう提案しました。添付ファイルが使えなくなるため、ファイルの交換にはOSSのオンラインストレージであるownCloudを利用するという提案でした。しかし、現場からは添付ファイルをまったく使わない運用は不便であるという声があがりました。
そのため、標的型攻撃のメールの特徴に着目しました。標的型攻撃では、メールの送信者が詐称されることが多く、これが大きな被害を引き起こす一つの原因となります。そのため、メールの送信者が詐称されていることをシステムで判定し、標的型攻撃と疑われるメールから添付ファイルを削除することにしました。
SPFを使って、送信者の詐称を見抜く
送信者の詐称を見抜く方法としては、SPFを使うことにしました。SPF検査は、該当ドメインの送信メールサーバのIPアドレスを入手し、実際のメールの送信元と照らし合わせる方法です。この検査をすることで、相手組織が認めた方法で送られたメールなのか、標的型攻撃のメールなのかを見分けることができます。SPFの情報は、該当ドメインのDNSレコードとして入手することができます。
SPFを検査するソフトウェアとしては、ENMAを使いました。ENMAでは、SPFを検査し、その結果をメールヘッダに記録することができます。この検査結果をPostfixでチェックし、送信元が詐称されているメールだけをSaMMAに送り、添付ファイルの削除をするようにしたのです。このような方法により、システムで標的型攻撃と疑わしいメールを自動的に判定し、添付ファイルを削除する仕組みを構築しました。
SPFを設定していない取引先への対応
ところが、この方法ではDNSにSPFレコードを正しく設定していないドメインのメールは、すべて標的型攻撃とみなされてしまいます。事前に弊社で調査をしたところ、約25%の取引先でSPFレコードを正しく設定していないことが分かりました。
この問題を解決するため、DNSキャッシュサーバにunboundを利用することにしました。unboundでは、キャッシュするDNSのデータを必要に応じて追加設定することができます。SPFを公開していない取引先のメールサーバをメールログから調査し、そのアドレスをunboundにSPFとして強制的に設定しました。この手法により、SPFが正しく登録されていないドメインでも問題を回避することができるようになったのです
モバイルユーザへの対応
また、導入前の動作検証の中で、社員が外出中にモバイルPC、スマートフォン、タブレットなどからメールを送信した時に問題が発生すること分かりました。モバイルユーザが社内に送るメールを標的型攻撃のメールと判定してしまうのです。そのため、モバイルユーザが社内に添付ファイル付きのメールを送ると、添付ファイルが削除されてしまったのです。
この組織では、モバイルユーザはsubmissionポートを使ってSMTP AUTHでユーザ認証をすることになっていました。そのため、submissionポートで認証したセッションについては、標的型攻撃の判定を行わないようにしました。この対応を行ったことで、モバイルユーザが標的型攻撃とみなされることはなくなり、これまで同様にメールのやりとりを行うことができるようになったのです。
導入後の結果
標的型攻撃と検知したメールでは、自動的に添付ファイルが削除されるようになりました。そして、替わりにテキストファイルが添付されます。このテキストファイルには、削除された添付ファイルの名称の一覧が記載されてます。迷惑メールに添付されているファイルは、ほとんどが削除されるようになりました。疑わしいメールが分かりやすくなり、またウィルスに感染する危険性も減ったことで、安心して使えるようになりました。また、事前に取引先のSPFを調べて対策を行ったため、トラブルも発生せず、円滑に導入することができました。
ただ、新たな取引先が増えた時に、誤って添付ファイルが削除されてしまうことがあります。その場合には、申請フローにしたがって管理者に連絡することになっています。管理者が申請に基づいて調査を行い、unboundに設定を追加します。送信元にメールを再送してもらう手間は掛かりますが、より安全な運用をしている安心感の方が勝っているということです。
【Webセミナー】Rocket.Chatだけじゃない!OSSビジネスチャットの最新情報
日程: | 12月19日(木)Webセミナー「BigBlueButton」を使用します。 |
内容: | Rocket.Chatの機能制限でお困りの方も必見!ライセンスフリーで利用できるOSSのビジネスチャットを紹介します。 |
ご興味のあるかたはぜひご参加ください。 |
SaMMAについて
SaMMAは、デージーネットが開発し、管理しているオープンソースソフトウェアです。元々、添付ファイルを自動的にZIP暗号化するゲートウェイプログラムとして開発されました。2016年に、標的型攻撃の対策のために、添付ファイルを自動削除するモードが追加されました。現在も、標的型攻撃の対策のための追加機能の開発が続けられています。
ENMAについて
ENMAは、IIJが開発したメールの送信ドメイン認証を行うオープンソースソフトウェアです。SPFとDKIMの両方の規格にしたがってメールをチェックすることができます。ENMAは、メールのチェック結果をメールヘッダに記録します。この事例では、この機能とSaMMAを組み合わせて、標的型攻撃の対策を行っています。
unbnoundについて
unboundは、DNSキャッシュサーバとして動作するオープンソースソフトウェアです。以前によく使われていたbindに比べて、キャッシュポイズニング攻撃に強いのが特徴です。RedHat Enterprise LinuxやCentOSにも標準で採用されています。unboundは、キャッシュの制御が柔軟に行えます。また、誤った登録をしたサイトの情報を意図的に書き換える機能を持っています。本事例では、この機能を活用して、SPFが正しく設定されていない相手からのメールを標的型攻撃と判定してしまう場合の回避を行っています。
標的型メール攻撃対策システムの関連ページ
- メールサーバ(添付ファイル暗号化)事例
- 標的型メール攻撃対策のOSS〜SaMMA〜
- 標的型攻撃対策の構成例
- SaMMA商用サポート
- Postfix〜設定方法が簡単なメールサーバ〜
- Linuxメールシステムで無料で使えるおすすめOSS 比較29選
メールシステム構築の事例一覧
- メールシステム・ActiveDirectory連携事例
- メールサーバ冗長化事例
- メールサーバのNFSメールスプール入れ替え事例
- postLDAPadminを利用したメールサーバ管理システム事例
- メールサーバのデータ移行(mbox形式→Maildir形式)事例
- メールサーバ(添付ファイル暗号化)事例
- 添付ファイルのPPAP問題を解決する代替としてSaMMAを利用事例
- メール転送時の添付ファイル削除システム事例
- 標的型メール攻撃対策システム事例
- Messasyを利用したメールアーカイブシステム事例
- メール承認システム(Mail Approval)事例
- RoundcubeによるWebメールサーバ事例
- RoundcubeによるWebメールサーバ(大学様向け)事例
- Sympaによるメーリングリスト管理システム事例
- SpamGuardによるメールサーバへのスパム攻撃対策事例
- SpamGuardによるメールサーバのパスワード漏洩対策事例
- HAproxyを利用したメール中継システム事例
- Sieveを利用したメールの振り分け機能つきメールシステムの導入事例
- Cockpitによるサーバ管理ツールの導入事例
- Mailmanを使ったメーリングリストサーバ事例
- Mailman 2を利用したメーリングリストサーバ構築事例
- MailAdmin2を利用したホスティングメールサーバ構築事例
- Googleメール送信者ガイドラインに対応したDMARC設定の導入事例
- 八王子市役所様へLGWANメールサーバ導入事例
- fmlからSympaへメーリングリストサーバ移行事例
- 全文検索の仕組みを導入したメールアーカイブシステム事例
- 山口ケーブルビジョン様へDMARCレポート解析サーバの導入事例
- Apache Solrによるメール全文検索システム事例