"セキュリティを重視しているお客様などは、ファイルを圧縮し、パスワードをかけるケースが非常に多い。それを悪用されないためにも、DDEIがパスワード付き圧縮ファイルの解析に対応している点はたいへん魅力的でした"

三菱電機インフォメーションシステムズ株式会社
生産技術本部 生産システム部　情報ネットワーク課 専任
斎藤 慎一 氏

三菱電機グループのIT関連事業を担う三菱電機インフォメーションシステムズ。他のグループ企業や研究所とも連携しながら、金融機関、製造業などの顧客に対し、多彩なソリューションやインテグレーションサービスを提供している。

「お客様のシステム構成など、重要情報を扱うことも多いため、当社にとってセキュリティは重要課題。ISMS（Information Security Management System）認証を取得するなど様々な活動を行っています」と同社の石井 延幸氏は話す。

その一環として、現在、同社はメールを悪用した標的型攻撃への対策も進めている。

近年、事前に攻撃対象者の情報を調べ、顧客や取引先になりすましてメール攻撃を仕掛けるケースが増加している。手口はますます巧妙化しており、一目で攻撃だと見抜くのは難しく、そこに添付されたファイルや記載URLを開かせ、不正プログラムをダウンロードさせる。「見積依頼や問い合わせなど、本当のお客様のものかもしれないメールを現場に開くなと言うのは難しい」と同社の斎藤 慎一氏は言う。

実際、同社ではリテラシー向上のために、模擬標的型攻撃メールを送信して訓練を行っているが、毎回、ひっかかってしまう社員が少数だが一定数おり、訓練や運用に頼らない、抜本的な対策の必要性を感じていた。

巧妙化するメール攻撃への対策として、同社が新たに採用を検討したのがトレンドマイクロの「Deep Discovery™ Email Inspector（以下、DDEI）」だ。

標的型のメール攻撃は、対象のIT環境に合わせてカスタマイズした不正プログラムが用いられることが多い。そのため、パターンファイルを参照する従来型の対策だけでは防御するのが困難となる。

それに対しDDEIは、こうした未知の脅威^※1にも対応可能。仮想環境で不審なファイルやURLがどのような動作をするかを実際に検証する「カスタムサンドボックス」や、文書脆弱性攻撃の検出を行う専用のエンジンを搭載しており、パターンファイルでは検出できない脅威の検出にも対応する。

「特に注目したのが、パスワード付き圧縮ファイルの解析にも対応している点です。不正なプログラムが圧縮／暗号化されている場合、攻撃を開始するのは解凍された後。送られてきたままの状態では検知が困難なのですが、DDEIなら、別のメールにパスワードが記載されている場合でも、それを探し出し、解凍してから解析を行ってくれる。この機能に期待しています」と斎藤氏は話す。

また「カスタムサンドボックス」は、文字通りカスタマイズが可能なサンドボックス。OSやアプリケーションなどを自在に組み合わせ、実際に利用しているPC環境に近づけることができる。これにより、利用中のアプリケーションなど、自社のIT環境を狙った攻撃の検出に役立つ。

加えて、同社はエンドポイントのセキュリティ対策に「ウイルスバスター™ コーポレートエディション」を採用している。DDEIによって検知された検体から作成したパターンファイルをエンドポイントに反映できることも採用を後押しした。

※1 全ての未知の脅威に対応するものではありません

導入検討にあたり、同社はDDEIの実力を確かめるべく、実際の環境で検証した。

DDEIには、現状、2通りの設置方法がある。1つはメールゲートウェイとメールサーバの中間に配置し、通過するメールをチェックする「MTAモード（インライン型）」。もう1つはメールサーバからBCCでメールを受信し、通常の通信とは別にDDEI側で並行して脅威のチェックを行う「BCCモード」である^※2。同社は、後者を選択した。

「既存のネットワーク環境に改修を加えることなく導入でき、万一DDEIに障害が発生した際にもメールを止めずに済む。業務への影響を最小化できるという観点でBCCモードを選びました」と斎藤氏は話す。

検証作業は約2週間。その結果、未知のマルウェア2件、不正なURL3件が検出された。「既存のフィルタリング対策もあるため、わずか2週間程度では何も検出されないだろうと予想していました。ところが実際には、DDEIを設置した翌日に検知したものもあり驚きました。同時にDDEIの検知精度が高いと認識しました」と石井氏は話す。

正式に採用を決定した後も検証時と同じBCCモードで運用し、約3,000アドレスに対してDDEIを適用する予定だ。

DDEIの機能はもちろん、これまでのトレンドマイクロのサポートに対する評価も高い。「未知の脅威を検知した際は、検体を送ると、すぐにパターンファイルへ反映されました。予想以上の迅速な対応でした。導入後は、カスタムサンドボックスの効率的な活用方法など、DDEIの使いこなしや運用面での支援を期待しています」と石井氏は言う。

このように、同社はDDEIによってメール攻撃に対する防御力を強化しようとしている。さらに今後は、同様のリスクを抱えている顧客にもDDEIを提案していくという。

「そもそもDDEIの検討を開始したのは、当社の事業部門が『顧客向けソリューションとして提案できるか評価してほしい』と私たち生産技術本部に依頼してきたのがきっかけ。これから実際に自社で導入し、運用する中で蓄積した経験やノウハウを各事業部門、ひいてはお客様にも積極的にフィードバックしていきたいですね」と斎藤氏は意気込みを語る。

社内セキュリティの強化、そして、同社のビジネスの拡大という両面で、DDEIは大きな貢献を果たしていくことになりそうだ。

※2 DDEIの設置方法として、この他、「TAP/SPANモード」を次期リリースで対応予定

DDEIの設置イメージ（BCCモードの場合）

※ 記載内容は2014年11月現在のものです。内容は予告なく変更される場合があります。