【ビジネスメール詐欺(BEC)対策 コラム】

ビジネスメール詐欺対策を
選択するために知っておきたい
3つのポイント

前回コラムは、送信ドメイン認証の概要やその効果とともに、残念ながら近似・類似ドメインを利用したDMARCではすり抜けが可能な手口を紹介しました。
それでは、送信ドメイン認証もすり抜けてしまうビジネスメール詐欺などの“なりすましメール”に対してどの様な対策が有効なのでしょうか?そのチェックポイントと仕組みを解説します。

チェックすべきポイントを説明する前に、よくあるお客さまからのお問い合わせを紹介すると、「クライアントに展開されたウイルス対策ソフトでなりすましメールを検知出来ますか?」という質問があります。

その答えは残念ながらNOです。

ビジネスメール詐欺での”なりすましメール”には、メール本文に不正なURLが存在しませんし、またマルウェアも添付されていません。つまり、不正・不審なモノが付いていないメールなので、エンドポイントセキュリティでの機械学習型検索やサンドボックスによるファイル分析、挙動監視でも“なりすましメール”そのものを検知する事は出来ません。

メールセキュリティ選択におけるポイント1:従来型のアンチスパムだけでは不十分

メールとしては通常の形態である”なりすましメール”はファイルを対象としたエンドポイントやサンドボックスによる対策では検知はできないので、それをシステム的にあぶり出す為には、ゲートウェイでの対策が必要です。
但し、メールセキュリティと言っても、従来型のアンチスパムだけでは、”なりすましメール”をあぶり出すことは困難です。その理由を探ってみましょう。

スパムメールフィルタでの検知には2つのアプローチがあり、1つはメールの送信元をベースにレピュテーション(信頼度)で判断する方式とメールのボディコンテンツを解析して判定する方法があります。

図1:スパムメールフィルタのアプローチ

送信元の信頼度で判断する手法は、スパムメールやマルウェアを送信しているメールサーバのIPアドレスのデータベースを利用するもので、RBL(Realtime BlackLis/Realtime Blackhole Listtなど)やSURBL(Spam URL RBL)など様々な団体・企業が提供している情報があり、トレンドマイクロでも独自に収集しているEmailレピュテーション(以下、ERS)があります。当社のメールセキュリティ製品・サービスでは、ERSだけではなく、RBLやSURBLを併せて利用し、広範囲の不正な送信元IPに対応しています。攻撃の種類(ビジネスメール詐欺・標的型メール・ランサムウェアなど)に関わらず、既に知られている不正な送信元IPから送信されるメールに絶大な効果を発揮します。
しかし、初めて利用・悪用される送信元からのメールは、ブラックリスト型データベースであるため対応できません。

故にもう一つのアプローチ、コンテンツ解析するスパムメールフィルタの併用が有効です。その代表的な技術としてはヒューリスティックフィルタとスパムシグネーチャを主になります。
ヒューリスティック技術は、メールの本文に用いられている文章や単語から、プラス及びマイナスの点数を積み上げ、しきい値に対してスパムメールか否かを判定します。(図2参照)
点数化の基準はベンダー毎に異なりますし、実際のメールを基にAI/機械学習で随時ブラッシュアップされることで改善されていきます。誤検知のリスクもありますが、送信元IPではブロックできないスパムメールのあぶり出しに効果を発揮します。

図2:ヒューリスティックの概念図

かつてスパムメールの主流であった広告宣伝を目的としたメールを判定する手法であるため、メール文や単語が通常のビジネス取引の内容と同一、あるいは似たメールに対しての有効性は低いと言えます。ビジネスメール詐欺の口座変更依頼や振込依頼書のメールなどは正規のビジネスメールと文面上の差異が無く、従来型のスパムフィルタだけでの検出を困難にしています。

メールセキュリティ選択におけるポイント2:ソーシャルエンジニアリングを見破る技術

従来のスパム対策ではBEC対策としては役不足です。そこで「BECをあぶり出すための専用フィルタ」をアンチスパムに追加するアプローチを取ることで、なりすましメールを検出します。ソリューションとしてこの専用フィルタがあるか?、BEC対策を選択される時に確認したいポイントです。

関係者を装う・なりすます手段はいわゆるソーシャルエンジニアリング攻撃で、SMTPの改ざん容易性を悪用して(改ざんが容易なフリーのWebメールサービスを利用し)、送信者の詐称をはじめ受信者が信じるような文面に仕立てていきます。守る側の視点で見れば、その手口をセキュリティの専門家としてシステム提供者である我々がルール化しスパムフィルタに組み込むことで、なりすましメールに対抗できます。当社では「ソーシャルエンジニアリング攻撃からの保護(SNAP: Social eNgineering Attack Protection)」と呼ぶ、なりすましメールをあぶり出す追加専用フィルタがこれにあたり、ルールも固定化することなく、最新の攻撃に出来るだけ速やかに対応しながら誤検知を抑えるよう機械学習でルール及び重み付けをブラッシュアップしています。(図3参照)

図3:スパムフィルタの概念図


ルールの全容・詳細はもちろん社外秘ですが、SNAPの検知方法をイメージしやすいよう一部をご紹介します。
・Content-Transfer-Encodingが不正で、自己記述メールエージェントから送信された可能性が高い
・転送・返信メッセージとされているが、件名タグRe:が対応するメッセージと一致しない(RFC5222)
・複数のASN.1を経由している
・メッセージIDと送信者のホスト名が一致しない
・メールルーティングパスに評価の低いメールサーバが含まれる
・Reply-toにエンベロープやヘッダーと異なるフリーメールアドレスやISPメールアドレスが記載。
など
数十種類のルールがあります。

図4:“なりすましメール”のソーシャルエンジニアリングフィルタによる検出例

“なりすましメール”がエンベロープ・ヘッダー・メール本文に残す典型的な痕跡を、SNAPフィルタで検知することで、システム的にBECのなりすましメールを対策することが出来ます。
また、このSNAPフィルタはビジネスメール詐欺の対策だけではなく、関係者を装ってメールでの侵入・クリックを誘う、標的型メールやランサムウェアのメールでも効力を発揮します。

メールセキュリティ選択におけるポイント3:社内の要職者を装うメールを見破る

なりすましメールの送信者に偽装の対象にされやすいのは、経営幹部や役職者であることはご承知のとおりです。そうした“なりすまされてしまう”可能性が高いユーザを「高プロファイルユーザ」として、システムに登録することで前回コラムにあったDMARCのすり抜けを狙った類似・近似ドメインを使った手口など、社外のドメインから送信された、高プロファイルユーザと同じ表示名を持つアカウントからの“なりすましメール”を検出します。古典的ではありますが、誤検知も少ない手法です。

図5:高プロファイルユーザの登録による検出強化のイメージ

まとめ

いくつかの対策技術を紹介しましたが、BECという一つの攻撃手法に対して何故複数の対策が求められるのでしょうか?1つの技術だけに頼ると、攻撃者はその短所を突いてきます。複数の技術を一つのコンソールで集中管理できるソリューションを利用することでメールの多層防御を実現し、リスクをより軽減出来ます。

図6:ビジネスメール詐欺への多層防御

トレンドマイクロでは、ビジネスメール詐欺への対応を強化すべく新しい技術を継続して開発しており、ビジネスツールとして欠かせないメールをより安心して使えるようこれからも精進していきます。
今注目を集める「BEC対策」を検討されるのであれば、これを機会にメールセキュリティの基本的な機能から新しい技術まで自社に有効な手法として抜け漏れがないかをぜひ確認してみて下さい。

吉田 睦
プロダクトマーケティング本部
国内大手SIや外資系ベンダーにて、ハイエンドUnixサーバでのプロダクトマネージャや企業向けミッドレンジストレージのOEM提供などシステムインフラを広める製品エキスパートとして活躍した後、2009年トレンドマイクロ入社。ゲートウェイセキュリテイの製品責任者としてクラウドメールセキュリティの立ち上げを担うなどプロダクトマーケティング業務に従事。

記事公開日 : 2018.8.9
 この記事は、公開日時点での情報です

TREND MICROはトレンドマイクロ株式会社の登録商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2018年8月現在のものです。内容は予告なく変更になる場合がございます