テクノロジー
製品
業界
ニュース
リソース
会社
日本語
テクノロジー
製品
業界
ニュース
ブログ
リソース
会社

Writing wrongs:Mimecastのリンクがなぜ誤ったセキュリティ認識を与えたか

Dan Fein, Director of Email Security Products

多くの組織は、従業員を狙った有害なリンクをEメールゲートウェイがすべてリライトしていることに安心感を持っています。リンクのリライトはよく使われるテクニックで、Eメールで送信されたURLをエンコードしてゲートウェイ自身のサーバーにユーザーをリダイレクトするものです。これらのサーバーには、ユーザーを追跡し、またリンクが悪意あるものであるかどうかを判断するチェックを後で実行するためのコードが含まれています。

本稿では、この保護の意識が間違ったものであり、リンクのリライトがエンドユーザーを実害から守ることと同じではないことを説明します。実際、ゲートウェイがこのテクニックに依存していることはそれらの根本的な欠陥の1つを示しているのです。それは、以前に識別された脅威のルールやシグネチャに依存していることと、その結果として初めて遭遇した脅威を阻止できないことです。これらのツールがまずリンクをリライトする理由は、後で判断できるようにするためなのです。リライトによってリンクが自分のサーバーにリダイレクトされたため、そのリンクについての新しい情報が入手されれば、その更新された情報を使って悪意あるリンクをブロックすることができます(多くの場合「第一号患者」が感染した後であり、被害はすでに生じています)。

初めて遭遇した脅威を識別しブロックできるEメールセキュリティであれば、すべてのリンクをリライトする必要はありません。

成功をどう測るか

リライトされたリンクの数が成功の指標であれば、従来型ゲートウェイが毎回勝利します。たとえば、MimecastはAntigena Emailであればロックする有害なリンクを、通常100%書き換えます。実際、すべてのリンクの100%近くがリライトされています。これには、信頼のおけるウェブサイト、たとえばLinkedInやTwitterなどへのリンクも含まれ、さらには受信者自身のウェブサイトへのリンクを含むEメールもリライトされてしまいます。したがって、たとえばティム・クック氏のアドレス(tim.cook[at]apple.com)がapple.comへのリンクを受信しても、‘mimecast.com’ がURLを支配するのです。

ゲートウェイの脅威の初回捕捉率が低いことに悩んでいる組織の中には、従業員の教育を強化することで対応しているところもあります。フィッシングメールの特徴を見分けるよう人間をトレーニングするのです。Eメール攻撃がより標的型になり、精巧になるなかで、人間が最終防衛ラインと見なされるべきではまったくありませんし、リンクのリライトは状況をさらに悪化させてしまうのです。クリックするリンクをよく確かめるようユーザーをトレーニングしても、それらのリンクがすべて ‘mimecast.com’ と書いてあった場合、ユーザーは同じURLのどれが良い、悪い、あるいは怪しいと分かるのでしょうか?

さらに、MimecastのURLゲートウェイがダウンしている場合、これらのリライトされたリンクは機能しません(添付ファイルの保護にも同じことが言えます)。これは業務のダウンタイムにつながり、現在の厳しいビジネス環境において許容できないことです。

全面的なURLリライトの影響は、Darktraceのユーザーインターフェイスで確認することができます。そこにはリンクのリライトの回数が時系列で示されています。過去3日間を振り返ってみると、この顧客(Mimecastと併用してAntigena Emailをトライアル利用中)はリライトされたリンクを含む155,008件のEメールを受信しています。そのうちの1,478件が異常なリンクでしたが、DarktraceのAIはこれらのリンクを即座にロックし、最初の受信者であっても被害から守りました。残りの153,530件はすべて不必要にリライトされたものでした。

図1:155,000 件以上の受信メールにリライトされたMimecastリンクが含まれていました

そのリライトされたリンクをユーザがクリックしたときに実際に脅威を阻止できるかに関して言えば、ゲートウェイツールにはそれは不可能です。評判、ブラックリスト、ルールやシグネチャなどの従来のチェック機能に依存しているため、悪意あるコンテンツが時には何日もあるいは何週間も、意味のあるアクションを取られることなく居座ります。このテクノロジーは少なくとも1人の、そして通常は大勢の「第一号患者」が発生しないと、URLあるいは添付ファイルを悪意あるものと判断してブラックリストを更新できないからです。

ここで、まったく新しいインフラ、つまり新たに購入したドメイン から開始され、新たに作成された悪意あるペイロードを含む攻撃の例を考えてみましょう。従来のツールが探す典型的なメトリックのいずれも悪意あるものとは見えず、当然の結果として、脅威は侵入し、「第一号患者」が感染します。

図2:「第一号患者」はEメール攻撃の最初の被害者を指します

悪意あるリンクが悪意あるものとして認識され、それが報告されるまでにはどうしても時間がかかります。この時点で、ワークフォースのかなりの範囲が同じく感染しています。これを「検知までの時間」と呼ぶことができます。

図3:検知までの時間

攻撃を認識して従来型ツールがリストを更新する間も、さらに多くのユーザーがEメールのコンテンツに反応し、マルウェアは組織を感染させ続けます。

図4:従来型ツールの対応

ようやく、従来型ツールが対応し、ブラックリストを更新してユーザーを被害から守るための実質的なアクションを提供します。この時点で、複数の組織に渡る数百人のユーザーが何らかの形でリンクに感染した可能性があります。

図5:脅威がブラックリストに記録されるまでに多数の「第一号患者」が必要

Eメールゲートウェイのリンクのリライトへの依存は、検知に対するそれらの古いアプローチと直接関係があります。この方法をとるのは、後になって、攻撃の可能性についての新しい情報が入手されたときに、アクションをとれるようにするためです。それまでは、単にリンクがリライトされただけで、もしクリックすればユーザーはリンクの下に隠されていたウェブサイトに誘導されてしまうのです。

リンクのリライトは、ユーザーのネットワーク上の動作についての理解を得ようとする試みでもあります。しかし、ネットワークアクティビティの正確なまたは詳細な姿を描き出すには程遠いこの手法は、組織内のユーザーの挙動のごく一部に触れているにすぎません。

DarktraceのEnterprise Immune Systemと共に使用されるAntigena Email はこうした情報を、組織のデジタルエステート全体に完全かつ直接的な可視性を持つ中央のAIエンジンから直接的に取得します。この全体とは、Eメールからアクセスされたリンクだけではなく、ネットワークアクティビティ全体を意味し、人々がEメールを通じてのみリンク先にアクセスするという仮定に基づいた簡易的なバージョンでもありません。また、SalesforceからMicrosoft Teamsまで、クラウドやSaaSアプリケーション内でのユーザーの挙動からも情報を取得します。

リアルなアクションをリアルタイムに実行

ゲートウェイは後から評価を行う可能性を残すためにすべてをリライトしますが、Darktraceはアクションをそれが必要なときに、メールが受信箱に届き脅威となる前にとることができます。このテクノロジーでそれが可能であるのは、悪意あるメールに初めて遭遇したときの成功率の高さによるものです。またそのような高い成功率を達成できるのは、AIを使ってその脅威が以前見られたものであるかどうかに関係なく捕捉するという、格段に洗練されたアプローチによるものです。

Darktraceの持つ、Eメールコミュニケーションの背後にいる人間にとっての 「正常」に対する理解 により、サイバー脅威の兆候かもしれないわずかな逸脱を検知するだけでなく、受信したその時点で脅威に対処することが可能になります。この対応は的を絞ったもので、程度に応じて中断を伴うことなく行われ、攻撃の性質に応じてさまざまな形があります。Darktraceの教師なし機械学習は「正常」からの逸脱を正確に特定し、教師付き機械学習モデルはEメールに隠された意図、つまり攻撃者が何をしようとしているか(情報を引き出す、送金をさせる、認証情報を収集する、あるいは悪意ある添付ファイルをダウンロードさせるなど)を分類することができます。

重要なこととして、両方のセキュリティアプローチをトライアルで利用している複数の組織によれば、Antigena Email はMimecastや他のツールで見逃されてしまう脅威を一貫して特定しているということです。Eメール攻撃の規模と精巧さが増すなかで、Eメールセキュリティへの積極的かつ最新のアプローチの必要性は最重要課題です。保護が万全であることを正しい指標で確認し、被害が生じる前に意味のあるアクションを取ることのできるテクノロジーを導入しなければなりません。

Antigena Emailのトライアルを今すぐ開始する

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.