第46話 メールとブラウザを守れ(前編)
攻撃の入り口となるのはメールとブラウザだから
CISセキュリティ管理09は、PC端末のウェブとメールソフトに対するセキュリティ対策について述べられている。
ウェブブラウザと電子メールクライアントは、攻撃者にとって非常に一般的な侵入口です。
企業内のユーザーと直接やり取りをするためです。コンテンツは、ユーザーを誘惑したり、なりすましたりして、認証情報の開示、機密データの提供、攻撃者がアクセスするためのオープンチャネルの提供など、企業にとってのリスクを増大させるように細工することが可能です。
悪意のあるハッカーが、PCなどの端末から情報漏洩を狙う場合、その侵入の手口のほとんどがメールまたはブラウザ経由からのマルウェア攻撃となろう。
マルウェアから多重で防御する
そして、その防御は多層で行われるべきというのが、最近のセキュリティの常識となっている。
セキュリティパッチとアンチウイルスは必須
そしてゼロトラストFTAでは第一防御として次の2点は必須と提唱している。
・セキュリティパッチの更新
・アンチウイルスソフト定義ファイルの更新
どのような環境のPCであっても、上記2点は第一防御として必須である。
第二第三の防御はどうやって決定する?
では、第一防御以降のセキュリティについてはどうであろうか。
多重層の防御の具体的な方法は、本CIS Controls 09にも述べられている。
9.1 サポートされたブラウザとメールソフトのみの使用
9.2 DNSフィルタリングサービスの利用
9.3 ネットワークベースのURLフィルターの適用
9.4 不必要なブラウザやメールソフト拡張機能の制限
9.5 DMARCの導入
9.6 不必要なファイルタイプのブロック
9.7 メールサーバーのマルウェア対策の導
危険なリスクから対策するべきです
これらの対策は全部必須なのだろうか。どの対策から実施するべきなのだろうか。
そしてゼロトラストFTAでは「セキュリティ事故の発生頻度が高いものから対策する」と考える。
発生頻度の高いマルウェアの傾向を調査すると、最近被害が増加しているマルウェアには次の共通点があることがわかる。
空白の数週間が許容できるかどうか
基本的には、第一防御(セキュリティパッチとアンチウイルスソフト)でもこれらのマルウェア攻撃は防御できる。
但し、新種のマルウェアが発生してから、対策パッチがリリースするまで数週間ほどのタイムラグはあると考えていた方が良い。
この空白の期間に感染した端末で行われる情報盗取攻撃は以下のものである。
・端末内のデータ(メール含む)の盗取
・ブラウザからの認証情報(IDとパスワード)の盗取
・画面のスクリーンショット情報の盗取
・メールソフトからアドレス帳の人間にマルウェアメールの送信
・ネットワークから他の機器への侵入
多重防御が必要となるPC端末の条件
従って、下記条件が当てはまるPC端末については、第一防御だけでは不十分である。空白の数週間でも被害に合わない第二第三の防御が必要であろう。
・スクショ盗取されてはならない情報(レベル1機密)にアクセスが可能なPC端末。
・端末内盗取されてはならない情報(レベル1&2機密)を端末内に保存しているPC端末。
・社内ネットワーク内部(VPN含む)に直接アクセスするPC端末。
・外部インターネットから、IDとパスワードだけでアクセスできるサーバ(多要素認証未導入サーバ)にアクセスするPC端末。
これらのPC端末に対する、多重防御については、次回解説する。
まとめ
・マルウェア対策の第一防御(セキュリティパッチとアンチウイルスソフト更新)は必須。
・最近のマルウェアはメール添付や正規インストーラーに巧妙に偽造された情報盗取トロイの木馬。
・数週間の無防備期間を防ぐある場合は多重層防御が必要。
【2021年版】ゼロトラストFTAガイドブック(無料)はこちらからダウンロード出来ます。本ガイドブックが、一社でも多くの企業のセキュリティ対策に役立つことを願っています。