連載
» 2014年10月21日 18時00分 公開

サイバー攻撃の今、昔(後):サイバー攻撃から“身を守る”手法、その歴史を知る (3/5)

[太田 浩二(トレンドマイクロ株式会社),@IT]

「スパム対策」そのコンテンツは本物か、偽物か

 オンラインバンキング詐欺のように、最近のサイバー攻撃では、フィッシングサイトとスパムメール(不正メール)はセットで使われることがあります。そのため、セキュリティベンダーは、前章での不正URL対策だけではなく、スパム対策も合わせた形で対策技術を開発、実装していく必要があります。

“昔”——目視判断可能な迷惑メールやマス攻撃

 これまでの一般的なスパム対応を見ていきましょう。日本人で英語のスパムメールをじっくり読んで怪しげなサイトを訪れる方は多くありません。また、以前のスパムメールは、日本語だったとしても販売、勧誘など、興味がなければ読まれないものが大半でした。そのため、メールコンテンツでブロックする、というよりは、スパム送信元をブロックしたり、メールの構成、一定のルールや添付ファイルでスパム判定したりすることで、被害を減らすことが可能でした。

 また、スパム送信元のブロックは、Mail Transfer Agent(MTA)のIPアドレスに対するレピュテーション、メール本体に対しては、スパムパターンで対応をすることが一般的でした。

 企業に対しては、総当たりで組織のドメインに対して大量のスパムメールを送信して、エラーが返らない、Non Delivery Report(NDR)が返るなど、メールアドレスの正当性を確認後、本当の攻撃用スパムメールを送信する活動が出てきました。このような不特定多数へのスパム攻撃についても、先ほどのメールレピュテーションと呼ばれる、MTAのIPアドレスに対するレピュテーションは有効でした。

“今”——本物そっくりの偽造メールと特定攻撃

 現在も昔ながらのスパムメールはありますが、一見してスパムと分からないメールも非常に多くなってきました。それらは、オリジナルメッセージを流用し、一部の情報を加工して再利用しています。また、スパム送信元として登録されているMTAではなく、Open Proxyやスパム送信に特化したMTAを利用されることもあり、ブロックすること自体が難しくなってきました。

 そのため、コンテンツハッシュクエリのように、一部の共通スパムコンテンツをハッシュ化して、レピュテーションに問い合わせるような新しい技術で、多様化するスパムコンテンツをブロックすることが始まっています。

 さらに、偽造メールと埋め込みURL対策も進んでいます。

 企業や個人に対するサイバー攻撃の一つに、偽造された銀行からの通知メールがあります。大手銀行が送信する通知メールをそのまま利用し、アクセスするURLのみ差し替えたものや、ログインの確認を促した注意喚起を装ったもののように、一見して不審な点が見えないメールが届きます。URLに関しても、メールごとに違うURLを埋め込むことも可能となっているようです。

 このタイプにはブラックリストの効果が限定的になるため、グレーなものを解析可能とする、ホワイトリストやアクセスコントロールで守っていくといった具合に、防御の視点を変えていく必要があります。

 URLのみ差し替えた本物そっくりの銀行の通知メール、オリジナルのコンテンツを巧みに利用したオンラインバンキングのフィッシングサイトのログイン画面、正規のオンラインバンキングのサイトに動的に追加された入力画面など、現在のオンラインバンキング詐欺は非常に巧妙です。そういった複雑化、巧妙化された攻撃に対しては、総合セキュリティ対策を用いて防御することが必要ですが、ソーシャルエンジニアリングを多用した攻撃には、自衛手段も必要です。

 銀行の注意喚起を装った手法のように、これまでと違う個人情報の入力画面、乱数表の登録データを全て入力させるような画面など、いつもと違う点があった場合は、即座に不正プログラム感染を疑い、まずセキュリティベンダーに相談する、といったような対応を心掛ける必要があります。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。