構築事例：標的型メール攻撃対策システム

2016年3月に発生したJTBの標的型メール攻撃による情報漏洩事件を受けて、不審なメールは開かないようにというユーザ教育だけでは心配だという要望で、システムを導入しました。標的型攻撃で使われるメールの多くは、送信者が偽造されます。そのため、送信者を偽装した、標的型攻撃の可能性の高いメールをシステム側で見分け、ユーザにメールが届く前に対策を行うようにしました。

SaMMAを導入

デージーネットで提供しているSaMMAには、メールから添付ファイルを自動的に削除する機能があります。この機能を使い、メールの添付ファイルを削除することで、標的型メール攻撃の対策を行う方法を提案しました。当初は、標的型攻撃が疑われるメールだけではなく、すべてのメールから添付ファイルを取り除くよう提案しました。添付ファイルが使えなくなるため、ファイルの交換にはOSSのオンラインストレージであるownCloudを利用するという提案でした。しかし、現場からは添付ファイルをまったく使わない運用は不便であるという声があがりました。

そのため、標的型攻撃のメールの特徴に着目しました。標的型攻撃では、メールの送信者が詐称されることが多く、これが大きな被害を引き起こす一つの原因となります。そのため、メールの送信者が詐称されていることをシステムで判定し、標的型攻撃と疑われるメールから添付ファイルを削除することにしました。

SPFを使って、送信者の詐称を見抜く

送信者の詐称を見抜く方法としては、SPFを使うことにしました。SPF検査は、該当ドメインの送信メールサーバのIPアドレスを入手し、実際のメールの送信元と照らし合わせる方法です。この検査をすることで、相手組織が認めた方法で送られたメールなのか、標的型攻撃のメールなのかを見分けることができます。SPFの情報は、該当ドメインのDNSレコードとして入手することができます。

SPFを検査するソフトウェアとしては、ENMAを使いました。ENMAでは、SPFを検査し、その結果をメールヘッダに記録することができます。この検査結果をPostfixでチェックし、送信元が詐称されているメールだけをSaMMAに送り、添付ファイルの削除をするようにしたのです。このような方法により、システムで標的型攻撃と疑わしいメールを自動的に判定し、添付ファイルを削除する仕組みを構築しました。

SPFを設定していない取引先への対応

ところが、この方法ではDNSにSPFレコードを正しく設定していないドメインのメールは、すべて標的型攻撃とみなされてしまいます。事前に弊社で調査をしたところ、約25%の取引先でSPFレコードを正しく設定していないことが分かりました。

この問題を解決するため、DNSキャッシュサーバにunboundを利用することにしました。unboundでは、キャッシュするDNSのデータを必要に応じて追加設定することができます。SPFを公開していない取引先のメールサーバをメールログから調査し、そのアドレスをunboundにSPFとして強制的に設定しました。この手法により、SPFが正しく登録されていないドメインでも問題を回避することができるようになったのです

モバイルユーザへの対応

また、導入前の動作検証の中で、社員が外出中にモバイルPC、スマートフォン、タブレットなどからメールを送信した時に問題が発生すること分かりました。モバイルユーザが社内に送るメールを標的型攻撃のメールと判定してしまうのです。そのため、モバイルユーザが社内に添付ファイル付きのメールを送ると、添付ファイルが削除されてしまったのです。

この組織では、モバイルユーザはsubmissionポートを使ってSMTP AUTHでユーザ認証をすることになっていました。そのため、submissionポートで認証したセッションについては、標的型攻撃の判定を行わないようにしました。この対応を行ったことで、モバイルユーザが標的型攻撃とみなされることはなくなり、これまで同様にメールのやりとりを行うことができるようになったのです。

SaMMAは、デージーネットが開発し、管理しているオープンソースソフトウェアです。元々、添付ファイルを自動的にZIP暗号化するゲートウェイプログラムとして開発されました。2016年に、標的型攻撃の対策のために、添付ファイルを自動削除するモードが追加されました。現在も、標的型攻撃の対策のための追加機能の開発が続けられています。

ENMAは、IIJが開発したメールの送信ドメイン認証を行うオープンソースソフトウェアです。SPFとDKIMの両方の規格にしたがってメールをチェックすることができます。ENMAは、メールのチェック結果をメールヘッダに記録します。この事例では、この機能とSaMMAを組み合わせて、標的型攻撃の対策を行っています。

unboundは、DNSキャッシュサーバとして動作するオープンソースソフトウェアです。以前によく使われていたbindに比べて、キャッシュポイズニング攻撃に強いのが特徴です。RedHat Enterprise LinuxやCentOSにも標準で採用されています。unboundは、キャッシュの制御が柔軟に行えます。また、誤った登録をしたサイトの情報を意図的に書き換える機能を持っています。本事例では、この機能を活用して、SPFが正しく設定されていない相手からのメールを標的型攻撃と判定してしまう場合の回避を行っています。

メールシステム構築の事例一覧

• メールシステム・ActiveDirectory連携事例
• メールサーバ冗長化事例
• メールサーバのNFSメールスプール入れ替え事例
• postLDAPadminを利用したメールサーバ管理システム事例
• メールサーバのデータ移行（mbox形式→Maildir形式）事例
• メールサーバ（添付ファイル暗号化）事例
• 添付ファイルのPPAP問題を解決する代替としてSaMMAを利用事例
• メール転送時の添付ファイル削除システム事例
• 標的型メール攻撃対策システム事例
• Messasyを利用したメールアーカイブシステム事例
• メール承認システム（Mail Approval）事例
• RoundcubeによるWebメールサーバ事例
• RoundcubeによるWebメールサーバ(大学様向け)事例
• Sympaによるメーリングリスト管理システム事例
• SpamGuardによるメールサーバへのスパム攻撃対策事例
• SpamGuardによるメールサーバのパスワード漏洩対策事例
• HAproxyを利用したメール中継システム事例
• Sieveを利用したメールの振り分け機能つきメールシステムの導入事例
• Cockpitによるサーバ管理ツールの導入事例
• Mailmanを使ったメーリングリストサーバ事例
• Mailman 2を利用したメーリングリストサーバ構築事例
• MailAdmin2を利用したホスティングメールサーバ構築事例
• Googleメール送信者ガイドラインに対応したDMARC設定の導入事例
• 八王子市役所様へLGWANメールサーバ導入事例
• fmlからSympaへメーリングリストサーバ移行事例
• 全文検索の仕組みを導入したメールアーカイブシステム事例
• 山口ケーブルビジョン様へDMARCレポート解析サーバの導入事例