攻撃を開始する時の入り口として一番多く利用されているのは電子メールを使った攻撃で、今も昔もこの手法は変わっていません。シスコが提供するセキュリティインテリジェンス、Talosの調べでは直近の 2020年7月 におけるスパムメールの割合は、約85%にも及びます。また昨今の情勢から、そのような時事ネタを使ったフィッシング攻撃は増加の一方です。
今回は、このような背景から再度注目を集めている、シスコ E メールセキュリティにて実現可能な多層防衛の考え方を主要な機能を例に受信するメールに対する脅威対策について解説します。
レピュテーション フィルタリング
シスコでは、世界で流々しているメールの約35%を日々監視しています。それによって得られたセキュリティインテリジェンスを元に、不正な送信元アドレスを特定し SMTP のコネクションが確立される前に、そのような不正な送信元からの攻撃を防ぎます。また地理情報を元にフィルタリングを行うことも出来ます。
コネクション フィルタリング
SPF/DKIM/DMARC といった送信者認証や、最大メッセージサイズ、メッセージあたりの最大受信者数などでスロットリングを行うことが出来ます。
CASE(内部スパム検査エンジン)
内部スパム検査エンジンでは、送信元IPアドレスだけではなく、メールのヘッダー情報、本文の内容などのコンテキスト情報を含めて解析を行います。ここで「スパム陽性」と判定されたメールは隔離やメールの件名にテキストを付与等の処理を行うことも可能です。また、隔離されたメールを受信者にて解放するといった運用をすることも可能です。
アンチウイルス
シスコメールセキュリティでは標準で Sophos 社の AV エンジンを提供します。またオプションでMcAfee 社の AV エンジンを追加することも可能で、同時に2つのエンジンを動作させることにより既知のウイルス対策を強化することが出来ます。
ファイルレピュテーション
添付ファイルに対する高度なマルウェア対策を行います。これは Cisco Advanced Malware Protection(AMP) にて実現します。シスコが収集している150万/日のマルウェアの情報を収集しており、メールセキュリティのみならず、エンドポイントセキュリティ、 NGFW 、クラウドセキュリティなどに AMP のテクノロジーが統合されております。ファイルレピュテーションでは、メールに添付されたファイルのハッシュ値( SHA256 )を計算し、DB に照会することで脅威のある添付ファイルに対する対策が出来ます。
ファイル分析
ファイル分析では、前述のファイルレピュテーションにて DB に登録されていないファイルでかつ怪しいファイルをサンドボックスによる振る舞い解析を行うことが出来ます。これにより未知の脅威に対しても対策が出来ます。
Graymail 分析
Graymail 分析では、マーケティングメール、ソーシャルメール、バルクメールを分類することが出来ます。例えばメールマガジンにて購読しているメールの件名に[ Marketing ]といったタグ付けを行ったり、隔離や破棄もすることが出来ます。また、「購読の停止」を装ったフィッシングメールも数多く存在するため、本当に購読停止を行うWebサイトなのかどうかを代理で確認した上で安全な購読の停止を行うといった機能も提供出来ます。
コンテンツフィルタリング
コンテンツフィルタリングでは様々な条件に対して、アクションを取ることが出来ます。例えば添付ファイルの拡張子( .exe )を含むメールの場合には、添付ファイルを削除する、隔離を行うなどといったアクションを取ることが出来ます。また Web セキュリティのインテリジェンスを元に、メール本文に含まれる不正な URL への対策や業務上不必要な URL カテゴリをテキストに置換するといった URL に対する対策を行うことも可能です。
条件一覧 アクション一覧
アウトブレイク フィルタリング
アウトブレイクフィルタリングでは2つの機能を提供いたします。一つ目はゼロデイ攻撃やスパムキャンペーンといった際に亜種のようなファイルを使って攻撃するケースがあります。AV ファイルの定義ファイル更新前にそのような亜種が発生すると防ぐことが困難です。そのような兆候を捉えて自動的に隔離を行い、前述の Talos と情報のやり取りを行い安全なメールと判断されたものを受信者に配送するといった機能を提供いたします。最終的には、定義ファイルが更新された時点で再度スキャンを行います。二つ目は「怪しい URL 」に対する対策です。怪しい URL を自動的に解析用の URL に書き換え、受信者がその URL をクリックするとリアルタイムにその Web サイトの判定を行い、安全が確認された上でアクセスを許可します。
以上のように、シスコメールセキュリティでは一つのアプライアンス、クラウドサービスにてこのような多層防衛を行うことにより、メールセキュリティの分野でリーダーとして高い評価を得ており、高い検知力を誇っております。攻撃の最初のベクトルであるメールセキュリティを見直す上でシスコメールセキュリティがお役に立つと確信しております。また以下からより詳細をオンデマンドで視聴することも可能ですので、是非ご視聴頂ければと思います。(攻撃の始まりはメールから!「第三者機関でも No.1 の評価を誇る、シスコメールセキュリティ」のご紹介)