Trend Micro DIRECTION東京 2019 セッションレポート

Office 365/G suite/Box
なぜ専用のセキュリティが必要なのか?

SaaS環境を狙った攻撃を事例に基づき解説し、あるべきセキュリティに迫る

2019年11月に開催したTrend Micro DIRECTIONで行われたセッションを取り上げる。メールシステムのクラウドへの移行、特にSaaS化が進むに従い、脅威やセキュリティのあり方も変化している。セキュリティ機能を備えたクラウドサービスでインシデントが続く理由とその対策を、当社プロダクトマーケティングマネージャ吉田睦が解説した。

汎用的なセキュリティでは
カスタマイズされた攻撃を防ぎきれない

「SaaSのセキュリティについて表面的な話ではなく、実際の事故事例の分析も踏まえ、一歩踏み込んで対策の勘所を解説したい」と冒頭を切り出した。メールや共有ストレージをSaaSに移行する企業が非常に増えている現在、クレデンシャル・フィッシング(認証情報詐取)や、これに起因して発生するビジネスメール詐欺や個人情報漏えいが重大性を増している。セキュリティ機能が付帯しているはずの各SaaSアプリケーションでなぜこうしたインシデントが増えているのだろうか。

その要因の一つとして、各SaaSアプリケーションに標準で付帯するセキュリティ機能と攻撃のギャップがあると吉田は指摘する。「付帯するセキュリティ機能のウイルス対策やスパム対策はパターンベースが主になるため、既知の攻撃は効率よく対応できるが、新しい攻撃や個別にカスタマイズされた攻撃への対応が難しい。」汎用的な攻撃には有効だが、対象を絞った攻撃には効果が低いという。攻撃者はそうしたターゲット(SaaSクラウドユーザ)の状況を踏まえ、まず受信者の関係者を装った巧妙ななりすましメールを作成し、ターゲットがメールに記載された不正なURLのクリックや添付されるファイルの開封をされやすくしている。

記載されているURLは従来のブラックリスト型のセキュリティをすり抜けられるよう、既知の不正サイトのリンクを用いるのではなく、新しく立ち上げた不正サイトのリンクを用いて、新しく作ったメールドメインから送ることが増えてきている。また添付されるファイルも、既知のウイルスではなく、新たに作成したウイルスや少しだけ改変した亜種のウイルスを添付ファイルに忍ばせることで、パターンベースのセキュリティをすり抜けられるよう巧妙化している。こうしてSaaSアプリケーション付帯のセキュリティ機能に見逃されたメールがユーザに届き、SaaS環境でのインシデントが起こってしまうのである。そのため、吉田は「付帯するセキュリティ機能だけではなく、複数の対策技術を組み合わせて防御のレベルを向上して欲しい」と主張する。

クレデンシャル・フィッシングに対抗する
3種類の解析手法

「クラウドアプリケーションのIDやパスワードを窃取するクレデンシャル・フィッシングを目的としたフィッシングサイトの数は全世界的に急増し、2019年上半期は2018年下半期に比べて大幅に観測数が増加しています。サイトに誘導するメールの配信に合わせて新しい不正サイトが次々に作られるこの手法は、従来のブラックリスト型の防御では検出率が落ちてしまう困難な状況と言えます。」

表1 : Office 365 およびOutlook関連を偽装したフィッシングサイト数推移(全世界)

(出典:トレンドマイクロ調査『法人システムを狙う強迫と盗用2019年上半期セキュリティラウンドアップ』)

こうした攻撃に対処するには、異なる3つの解析手法が必要だという。まず1つは、既知の脅威として登録されているサイトをブロックするための静的解析(ブラックリスト型)だ。新規に立ち上げられたドメインではすり抜けてしまうが、誤検知の少なさから第1フィルタとして非常に有効である。2つ目は、静的解析で「未分類と判定」されたサイトをAIのモデリングで判別する動的解析、そして3つ目は、画像だけで構成されたサイトも画像解析結果とファビコンのオーナー情報をAIで比較する、画像解析である。画像だけで構成されたサイトは、テキストベースでしか解析しないスキャナでは、「Unknown」になってしまい必要な情報が取得できず、正否の判別ができなくなってしまう。

「一概に『フィッシング詐欺対策ができる』という売り手の言葉だけに惑わされず、具体的にどのように解析できるのか、というところまで意識をした対策の深さを確認することが、セキュリティ強化のためにコストをかける際のリスク軽減に重要だ。」と吉田は語った。

ビジネスメール詐欺(BEC)を技術で見分ける

「ビジネスメール詐欺をただの「詐欺メール」で片付けるとその脅威の本質を見失ってしまいます。なぜ騙されてしまうのか、そのメカニズムに迫りましょう。」

クレデンシャル・フィッシングによってSaaSアカウント情報が窃取されると、攻撃者はそのアカウントに届く全てのメールを入手することができ、より巧妙に取引先や企業の経営幹部になりすますことが容易となる。例えば、ターゲットが定期的に行っている請求支払い業務などを盗み見て、その文脈に沿って詐欺メールを作成できるため、受信者は通常の業務と思い騙されてしまうのである。実際BECのサンプルを見ると、なりすまされた本人のメール署名を囲むアスタリスクの数まで同じなど、細部まで巧妙になりすまされていることもある。また2つ目の特徴として、この詐欺メール自体は、マルウェアや不正なURLを含まない通常のビジネスメールであるため、たとえサンドボックスなど最新のマルウェア対策を行っても判別することは出来ない。標的型メールなどと違い手数も含めてシンプルな手法ではあるが、被害額は大きいため対策を講じなければいけないポイントのひとつである。受信者に表示される部分だけでは判別が難しいケースも多く、マルウェア対策などとは別にシステム的・機械的に判断する必要がある。

「トレンドマイクロのメールセキュリティでは、捏造されたドメインや手入力で入力された”Re:”など、なりすましメールで悪用される約30種類のルールを基にしたメールヘッダのスキャンによる検知に加え、メール本文に緊急性を強調するような文章が入っていないかに基づき検知します。また、特になりすましの対象にされやすい経営幹部に対しては、本人の書き方の癖を約7000通りのポイントから機械学習でモデリングした、Writing Style DNA™を用いてアラートをあげることも可能です。」

ビジネスメール詐欺(BEC)対策の新技術“Writing Style DNA”

クラウドストレージからの情報漏えいに有効な
コンプライアンスのアプローチ

Office 365やG Suiteなどには、メール機能だけではなくクラウド共有ストレージ機能も含まれている。クレデンシャル・フィッシングで認証情報が攻撃者に盗まれてしまうと、クラウドストレージ上に置かれているファイルにもアクセスが可能になる。万が一そこに個人情報が置かれていると個人情報流出が容易に行われてしまうことが想像できるだろう。しかし、管理者が全てのアカウントのストレージ内をチェックして個人情報が置かれていないか確かめるのは現実的な対策ではない。

「Trend Micro Cloud App Security™(以下、CAS)では、BoxやOneDrive for Business、Googleドライブのようなクラウドストレージ内にアップロードされたファイルにスキャンをかけると同時に、コンプライアンスルールに当てはまるものがないかどうか判断して、当てはまるファイルを隔離したり管理者や利用者に通知したりすることが可能です。コンプライアンスルールテンプレートとして、全世界的に使える約230種類のテンプレートのほかに、日本のSEが協力して開発した日本独自のテンプレートも約30種類用意している。例えば漢字やカタカナの苗字、マイナンバーなど、海外の開発者だけではカバーしにくい部分までカバーした、日本のユーザに適した製品といえます。」

CASは各SaaS製品とのAPI連携をしてセキュリティスキャンをしているため、ゲートウェイ型と異なり、SaaS標準セキュリティやサードパーティ製ゲートウェイ型セキュリティ製品をすり抜けたリスクをどの程度検知しているか数字を把握しているという。実際にExchange Onlineのセキュリティをすり抜けて、CASが「高リスク」なメールとして検知した数は、2018年だけで890万件に上る。

ゲートウェイ型ではなくAPI連携型を利用するメリットとして、「外部からメールが入ってくるときだけではなく状況に応じてメールボックス内の検索も行える」ことを挙げた。これを利用して、トレンドマイクロでは今後フィッシングメールやマルウェア付きのメールの侵入を防ぐ予防の部分だけではなく、万が一侵入を許してしまったときに事後対処を迅速に行うところまでをカバーするような製品群に成長させていく。現在のEDR (Endpoint Detection & Response)はエンドポイントでの事後対策に限られているが、実はマルウェアの侵入経路の約90%はメールだ。EDRで見つけたエンドポイントのマルウェアを駆除しても、元凶となったメールをSaaSのメールボックスに放置しておくことは好ましいとは言えないだろう。「エンドポイントデバイスだけでなく、エンドポイント製品との連携によってクラウドメールボックスの中に原因ファイルの検索範囲を拡大し、原因となったメールの隔離、削除を行うことを考えていくべきではないだろうか」とSaaSのセキュリティの将来像を語り、吉田は講演を結んだ。

クラウドSaaSの利用が進む中、ご紹介した脅威を少しでも軽減するために、一度セキュリティを見直す機会を持ってみてはいかがだろうか。

記事公開日 : 2019.12.26
 この記事は、公開日時点での情報です