トピック

世界で活躍しているネットワークオペレーターが最新のセキュリティを語る【後編】

JPAAWG 1st General Meetingレポート

 「JPAAWG(Japan Anti-Abuse Working Group:ジェイピーアーグ)」は、世界30カ国230以上のネットワークオペレーターやセキュリティベンダーが参加するグローバル組織「M3AAWG(Messaging, Malware and Mobile Anti-Abuse Working Group)」と連携し、日本でインターネットのセキュリティについて議論するワーキンググループだ。

 2018年11月8日に開催された「JPAAWG 1st General Meeting」の模様を紹介する当記事。前編(リンク)では午前中行われた2つのKeynoteをお届けしたが、後編となる当記事では午後に行われた2つのセッションの模様を紹介する。

ビジネスメール詐欺の事例と手口

 こちらのセッションでは、独立行政法人情報処理推進機構(IPA) セキュリティセンターの伊藤 博康氏による「ビジネスメール詐欺の事例と手口 ~あらゆる国内企業・組織が攻撃対象となる状況に~」と題した講演が行われた。

独立行政法人情報処理推進機構 セキュリティセンターの伊藤博康氏

 ビジネスメール詐欺とは、巧妙に細工したメールのやり取りにより企業の担当者をだまして、攻撃者の用意した口座へ送金させる詐欺の手口。国内でもすでに大規模な被害事例があり、逮捕者も出ている。

 IPAでは、官民連携によるサイバー攻撃に関する情報共有の取り組みとして2011年にサイバー情報共有イニシアティブ(J-CSIP)を発足させた。J-CSIPでは、複数の組織から集約した事例をもとにビジネスメール詐欺で使われる手口を分析し、注意喚起を公開している。

 ビジネスメール詐欺では、取引先担当者や経営者などになりすまして偽のメールを送り付ける。伊藤氏は「メールへの依存度と信頼感、警戒心の薄さを逆手に取った攻撃であると言えます」と指摘する。

 ビジネスメール詐欺は、騙す手口の違いなどから5つのタイプに分類できるが、取引先との請求書の偽装、経営者等へのなりすましといった2つが代表的な手口である。

 J-CSIPでは2018年7月までに17件のビジネスメール詐欺に関する情報提供を受けており、そのうち11件が取引先との請求書の偽装、6件が経営者等へのなりすましだ。被害があったとの情報も5件確認されている。

 「これまでJ-CSIPでは英語のビジネスメール詐欺は確認していましたが、2018年7月には日本語のビジネスメール詐欺が行われたという情報提供を受けました。もはやあらゆる国内組織・企業が攻撃対象となる状況で、身近に迫る脅威と言えます」と伊藤氏は言う。

 伊藤氏はその後、3つのビジネスメール詐欺事例を紹介した。その内の1つは日本語のビジネスメール詐欺である。日本国内の企業(A社)の従業員に対して、A社のCEOをかたる攻撃者からのビジネスメール詐欺事例で、巧妙なメールのやり取りにより金銭をだまし取ろうとしたものだ。

 伊藤氏は、「A社担当者は不審であると気付けたため被害はありませんでした。ビジネスメール詐欺では、メールの受信者がなりすましメールであることに気付けるようにしておくことも大切です」と話す。

 とはいっても、ビジネスメール詐欺では攻撃者が本物のようになりすますためのさまざまな細工が仕掛けられている。そのためこれを見抜くことは難しい。

 伊藤氏はビジネスメール詐欺でよく見られる攻撃手口についていくつか紹介した。まずメールアドレスの見た目を偽装することでだます手法。@以下のアドレスを1文字入れ替えたり追加したりすることで本物のメールアドレスと信用させる。その他にも同報メールアドレスを改変したり、詐称用にドメインを取得したりと、攻撃者はさまざまな手法でだまそうとする。

 伊藤氏は、「組織や企業を対象としたビジネスメール詐欺という攻撃があることを知ることが重要です。ビジネスメール詐欺の攻撃手口を理解し、不審なメールへの意識を高めておく必要があります」と強調する。

 具体的なビジネスメール詐欺への対策として伊藤氏は、1)社内規定や体制の整備、2)メールアカウントへの不正アクセス対策、3)ウイルス、フィッシング対策を挙げた。普段と異なるメールについては社内で相談や連絡、情報共有を必ず行い、チェック体制を徹底すること、メールが盗み見られていたりウイルスやマルウェアに感染したりしないよう対策を行うことが大切であると指摘する。

ビジネスメール詐欺の代表的な手口。取引先担当者や経営者になりすまして偽のメールを送り付けて信用させる(出典:IPA)

 「どれか1つだけ対応すればいいというわけではありません。体制の整備、システム対策など複数の対策を組み合わせて、日ごろから常に意識しておくことが重要です。不審メールは来ていないか、開いていないかなど、簡単にできることから始めましょう」と伊藤氏は語り、セッションを締めくくった。

送信ドメイン認証技術・DMARCとDMARCレポート活用について

 このセッションでは、国立大学法人東京農工大学 助教の北川直哉氏と、株式会社クオリティア クラウドサービス開発本部 チーフエンジニアの平野善隆氏により、「DMARC」を中心としたなりすましメール対策の技術解説・活用の事例が紹介された。

国立大学法人東京農工大学 助教の北川直哉氏
株式会社クオリティア クラウドサービス開発本部 チーフエンジニアの平野善隆氏

 DMARC(Domain-based Message Authentication ,Reporting and Conformance)とは、メール認証、ポリシーおよびレポートのプロトコルである。DMARCには大きく2つの機能があり、1つはSPF/DKIM検証のエラー状況(ruf)・統計情報(rua)のレポーティング機能。もう1つはSPF/DKIM検証失敗メールの取り扱いを送信側が指定する機能である。

 「自分のドメイン名を詐称して送られた場合、それを受信サイドでどのように取り扱ってほしいかを送信サイドから指定することができます」と北川氏。受信側はポリシーに基づいて取り扱い方法を決定でき、none(処理方法を指定しない)、quarantine(隔離する)、reject(受信拒否する)の3つから選択できる。

 DMARC検証とレポート送信の流れとしては、受信側で送信ドメイン認証が通ればそのままメールがユーザーに届くが、失敗した場合にはDMARCのポリシーをチェックする。この際、認証結果(rua)レポートと認証失敗(ruf)レポートが送信側に送られる。

 DMARCによる送信ドメイン認証について北川氏は、「SPF/DKIMでは、送信元ドメインと検証用ドメインは無関係でも良いのですが、DMARCでは第三者署名を許可しません。そのためより強固な送信ドメイン認証と言えます」と語る。

 次に平野氏が登壇し、DMARCを設定するメリットについて「自社のドメインをなりすましたメールが到達しないようにできることと、SPFやDKIMが正しくないメールを追跡できることです。どちらかと言えば送信者側のメリットが大きいです」と語った。

 自社のドメインをなりすましたメールを到達させないというのは、「例えば、example.jpからのメールはDKIMかSPFをPASSするはずなのでそうでない場合は拒否してください」という設定を行うことができる。これはDMARC登場以前にはスパムフィルター業者に依頼するしかなかったことである。

 さらに平野氏はDMARCの具体的な設定方法について、利用中のドメイン、利用していないドメイン、新規のドメインに分けて設定例を紹介した。

 「難しいと考えられがちですが、まずはレポートを受け取って様子を見ましょう。SPFやDKIMが正しく設定されていなければレポートが来ますので確認し、設定を修正します。これにより必要なメールのレポートは来なくなるはずですので、それからrejectに設定を変更すれば良いのです」と説明する。

 利用していないドメインや新規のドメインについても、実際の設定例を交えながら、できるだけrejectに設定することを勧めた。

 続いて北川氏がDMARCレポートの統計分析結果を紹介した。DMARCレポート数やレポーター数は増加を続けていることをグラフで説明した。北川氏は分析により、「DMARCの処理に矛盾が生じているレポーターの存在や、送信側が宣言しているpolicyと実際の処理の違いが見えてきた」と話す。

 強いポリシー(rejectやquarantine)を宣言した場合でも、ホワイトリストに含まれているから、転送サーバーリストに含まれているからなどの理由で、より弱いポリシーに下げられることもあるという。

 「レポートを見てみないと始まりませんので、レポート受信のためにもまずは弱いポリシーから始めて徐々に強いポリシーに変更していくのがお勧めです」と北川氏は言う。

 最後に北川氏は、「DMARCレポートを受け取ってみましょう」と勧め、セッションを締めくくった。

DMARC検証とレポート送信の流れ。検証のエラー状況、統計情報のレポーティングを受け取ることができる(出典:北川氏、平野氏制作の資料より)