Endpoint Protection

 View Only
Back to Library

Web メールのセキュリティとその関連対策 

Mar 13, 2012 07:47 AM

Web メールは、通常のデスクトップメールよりも利点が多いため人気があります。その大きなメリットの 1 つに、どこからでもアクセスできるということがありますが、これは諸刃の剣です。つまり、世界中のどこからでもアクセスできる代わりに、攻撃を受けるエリアが大幅に広がるからです。ここでは、これまでに確認されている脅威、標的にされた場合の影響、Webメールの利用に伴う脅威をうまく低減するための対策を説明します。

ビジネスユーザーは、社外から仕事用のリソースにアクセスする機会が多いものです。Web ベースの電子メールが企業のコミュニケーションリソースとして広く利用されるようになったのはそのためです。どの企業でも、業務を首尾良く円滑に進めるためのコミュニケーション基盤として、電子メールが使われています。そのため、利用価値が高く、また重要情報も扱っているということで、電子メールは悪質な攻撃者の標的になりがちです。電子メールのインフラが侵害されると、次のように、さまざまな問題が起きる可能性があります。

  • 知的財産の漏えい: 企業秘密、顧客情報、パートナー情報、社内メモなどを盗まれる可能性があります。盗まれた情報を元に脅迫メールが送り付けられてきたり、あるいはその情報がインターネットで高値で取り引きされたりする恐れもあります。
  • 連絡先情報の漏えい: アドレス帳を盗まれると、ビジネスチャンスが失われる可能性があると同時に、登録されている連絡先がその後、スパム攻撃やマルウェア攻撃の被害を受ける恐れがあります。
  • また、地域の法規制によっては、データが侵害された事実を公表しなければならない場合や、企業に多額の罰金が科せられる場合もあります。

攻撃者は、さまざまな手口を駆使してきます。単純な Web 検索を実行して、Web メールの URL を得る手段もあります。この情報を入手した攻撃者は、次にボット(自動化プログラム)を使って正しいユーザー名とパスワードを推測します。シマンテックで確認している最も一般的な攻撃は、企業の IT ヘルプデスクになりすまして、標的型のフィッシングメールを送り付けるというものです。この種のメールは、さまざまなソーシャルエンジニアリングの手法を使ってユーザーを誘導し、パスワードを入力させようとします。パスワードを引き出した攻撃者は、該当する Web メールサーバーにログインして、そこからさらに悪質な活動を実行することができます。

以下に、標的型のフィッシングメールの例を 2 つ示します。最初の例では、攻撃者が被害者をある URL に誘導し、ユーザー名とパスワードを入力させようとしています。この例では、被害者に詳しいユーザー情報を入力させる手段として、Google ドキュメントを使ったシンプルなフォームを用意しています。次の例はもっと単純なフィッシングメールで、被害者に詳しい情報を入力させ、Web メールアカウントのユーザー名とパスワードを返信させようとするものです。

フィッシング攻撃を防ぐためには、効果的なセキュリティポリシーを施行する必要があります。また、その後に挙げる方法も、このような脅威を低減する効果があります。これらの手段を組み合わせることで、攻撃者の標的になりにくくし、被害者となるのを防ぐことができます。

セキュリティポリシー

  • ハードウェアトークンまたはソフトウェアトークンを使った 2 要素認証プロセスを実装する。この場合は、ユーザーが Web メールにログインする際に、(ユーザー名とパスワードに加えて) 2 番目の認証情報を入力する必要があります。
  • 特定のユーザーに対してのみ Web メールへのアクセスを許可することを検討する。これにより攻撃を受けるエリアが小さくなるため、標的となる可能性も低くなります。一般に、社外から Web メールにどうしてもアクセスする必要がある従業員は一部にすぎません。
  • Web メールサーバーのルートに robots.txt を設定して、検索エンジンのクローラーで検出されないように Web メールの URL を隠す。
  • 一般的または容易に推測できる Web メール URL(webmail.domain.com、mail.domain.com など)を避ける。
  • (複雑なパスワードを義務付けるなど)効果的なパスワードポリシーを施行し、定期的なパスワードの変更を強制する。
  • ユーザーあたりのメールの合計数を制限する。日単位や時間単位で制限を設けることができます。

ユーザー教育

  • IT 部門に毎月勧告を出すよう要請し、効果的なセキュリティ対策に関する定例会や研修会を開く。
  • ログインページを利用して、時期に応じて内容を変えた、簡単なセキュリティ勧告を伝える。たとえば、休日や祝日のシーズン中は、怪しげな題名の添付ファイルに注意するよう促します。
  • フィッシング攻撃の見分け方をユーザーに教える。たとえば、サンプルメールを見せると、フィッシング攻撃がどのようなものか理解しやすくなります。
  • 公共または共有のコンピュータで Web メールを利用しないよう勧告する。このようなコンピュータには、キーロガーなどのマルウェアがインストールされている恐れがあります。

事前対策

  • サーバーと Web メールソフトウェアに最新の更新プログラムを適用して、脆弱性につけ込まれないようにする。
  • 認証ログとアクセスログを頻繁に監視して、疑わしい事象(ユーザー活動の急上昇など)がないか確認する。必要であれば、侵害されたアカウントを無効にするよう管理者に警告します。

シマンテックの経験では、上記すべての方法のうち、標的になる可能性を低減する効果が最も高い方法は 2 要素認証プロセスの実装です。このような技術を利用すると、攻撃者はユーザーの Web メールサーバーにアクセスできなくなります。そうすれば、攻撃の標的は、このような対策をしていない別の企業に移ります。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.