デジタルアーツ、新世代の標的型攻撃対策ソリューションについて説明

　デジタルアーツ株式会社は15日、Webとメールの「無菌室」化を実現する新世代の標的型攻撃対策ソリューションに関し、記者説明会を開催した。

　説明会では、同社の企業・官公庁向けWebセキュリティソフト「i-FILTER」とメールセキュリティソフト「m-FILTER」を連携した、ホワイトリスト運用による標的型攻撃対策の仕組みや、サイバーリスク情報提供サービス「Dアラート」の活動内容および最新の攻撃傾向などを紹介した。

　日本企業のセキュリティ対策の現状について、デジタルアーツ 代表取締役の道具登志夫氏は、「ほとんどの大手企業が多大なコストをかけて様々なセキュリティ対策を導入しているのにも関わらず、いまだにWebとメールによる標的型攻撃を防ぎきれていない。結果として、各従業員が自分でクライアント端末のお守をしているのが実情だ。1つのメールを開くのにも時間がかかり、重要な資料を送る際にはメールを使わず訪問して手渡しするなど、生産性の低下を引き起こしている企業も少なくない」と指摘する。

デジタルアーツ 代表取締役の道具登志夫氏

　こうした状況に対して同社では、2017年9月にWebセキュリティソフトの新バージョン「i-FILTER Ver.10」とメールセキュリティソフトの新バージョン「m-FILTER Ver.5」をリリースし、従来の内部の情報セキュリティ対策に加えて、外部からの標的型攻撃対策機能を大幅に強化。ホワイトリストデータベースの運用によって、Webとメールを「無菌化」する新世代の標的型攻撃対策ソリューションを展開している。

　「99.9％防御できるブラックリスト運用の製品を、多層でどれだけ掛け合わせても100％防御することはできない。入ってきたものを無害化するのではなく、ホワイトリストで『無菌室』化することで、外部でどのような危険が起きていても関係なく、安全なWebとメールの環境を維持することが可能になる」（道具氏）としている。

「i-FILTER Ver.10」と「m-FILTER Ver.5」が実現する安全なWebとメールの世界

　「i-FILTER Ver.10」と「m-FILTER Ver.5」は、2017年9月のリリース以降、順調に導入が進んでおり、2018年12月時点で約2400団体（企業・公共）、32万人が利用している。また、昨年1月からは、ホワイトリストを利用したサイバーリスク情報提供サービス「Dアラート」の無償提供を開始し、1年間で約200以上の団体（企業・公共）に同サービスを提供しているという。

サイバーリスク情報提供サービス「Dアラート」の概要

　デジタルアーツ マーケティング部の遠藤宗正氏は、ホワイトリスト運用による標的型攻撃対策のメリットについて、「ブラックリスト方式の防御は、データベースに登録されていない未知の危険なメールやサイトにアクセスできてしまうため、堅牢性の面で不安が残る。一方、ホワイトリスト方式は、データベースに登録済みの安全なメールやサイトのみにアクセスするため、危険なメールやサイトを完全に遮断できる。これによって、Webもメールも、リスクを意識せずに安全に閲覧することが可能となり、業務の邪魔をしない堅牢性と利便性の両立を実現する。さらに、多層防御も従業員教育も必要ないため、セキュリティコストを大幅に削減できる」と説明した。

デジタルアーツ マーケティング部の遠藤宗正氏

　Webを「無菌室」化する具体的な仕組みとしては、「i-FILTER Ver.10」で、Surface Web（検索サイトで検索可能な国内のサイト）のURLを網羅したホワイトリストデータベースを構築。業務で利用するWebサイトはすべて検索できるため、業務のWeb閲覧を阻害することなく、安全なWebの世界を実現する。また、クラウドルックアップ機能によって、Surface WebのURL情報を随時更新していく。ユーザーが未登録のURLにアクセスしようとした場合、個人情報を含むパラメーターを取り除いた後に、クラウド上のデータベースに通知。同社でカテゴリ分類をした後に再配信することで、ホワイトリストの網羅率を維持する。

安全なWebを実現する仕組み

　メールの「無菌室」化については、「m-FILTER Ver.5」ですべてのメールを受信し、送信元偽装判定、添付ファイル拡張子判定、リンク偽装判定、カテゴリ判定によって、標的型攻撃メールの偽装判定を行う。

　判定の結果、偽装の疑いがある場合はメールを隔離し、端末には配信せず、隔離したことを通知する。もし、そのメールを受け取る必要がある場合には、偽装メールを無害化して配信することもできるという。

　また2018年9月には、送信元偽装メールの判定ができるホワイトリストデータベースを新たに構築。メールのIPアドレスとドメインの正しい組み合わせをホワイトリストデータベース化することで、メールの送信元情報との照合を行い、送信元偽装メールをより強固にブロックすることが可能となった。

安全なメールを実現する仕組み

　「さらに、この『i-FILTER Ver.10』と『m-FILTER Ver.5』を連携することで、標的型攻撃メールを完全に排除することができる。『m-FILTER Ver.5』で受信したすべてのメールを『i-FILTER Ver.10』に送り、メール内のURLを確認。不正なURLがあるメールは隔離し、標的型攻撃からユーザーを守る」（遠藤氏）としている。

　また、昨年1月に無償提供を開始した「Dアラート」の活動状況について、デジタルアーツ 開発部Internetデータラボ課の細谷計介氏が説明。「『Dアラート』は、『i-FILTER Ver.10』のクラウドルックアップ機能を利用して、ホームページの改ざんやマルウェア感染の疑いがあるユーザーにリスク情報を提供するサービス。具体的には、悪性URLへ接続した際の情報、悪性メール受信内容の情報、不自然な接続・挙動があった場合の情報の3つを通知する。また、ユーザーだけでなく、Webサイトオーナーには、Webサイトが改ざんされていることを通知している」とした。

デジタルアーツ 開発部Internetデータラボ課の細谷計介氏

　この「Dアラート」で提供したリスク情報をもとに、細谷氏は、昨年数多く送付されたマルウェアスパムメールとして、「IQYファイルを添付したメール攻撃」および「楽天市場を模したメール攻撃」を紹介した。

　「IQYファイルを添付したメール攻撃」は2018年8月7日に発生したもので、推定メール流通数は40万通以上。攻撃手法は、添付されたIQYファイルを実行するとURLへ接続し、マルウェアをダウンロードする。

　「楽天市場を模したメール攻撃」は2018年12月11日、13日に発生し、推定メール流通数は13万通以上。攻撃手法は、楽天市場を模したメール本文内のリンクをクリックするとURLに接続し、zipファイルまたはjsファイルをダウンロード。さらに、jsファイルを実行するとURLに接続、マルウェアをダウンロードする。

　「いずれのメールもURL自体は『未カテゴリ』であったため、『i-FILTER Ver.10』と『m-FILTER Ver.5』のユーザーは、ホワイトリスト運用でURLへの接続をブロックすることができ、メールも隔離することができた」（細谷氏）という。

　最後に細谷氏は、今年1月のマルウェアスパムメールの特徴について、「2018年12月までは添付ファイルのハッシュ値は1パターンまたは数パターンだったが、2019年1月のマルウェアスパムメールでは、同じ攻撃で数万パターンのハッシュ値が観測された。さらに、微妙に添付ファイルの中身を変えていた」と、ハッシュ値による識別が難しくなってきたと報告した。