第47話メールとブラウザを守れ（後編）

2022年1月11日 11:10

前回に引き続きメールとブラウザを守る多重防御についての考察を続ける。

ゼロデイの空白期間を守る第二防御

第一防御は下記２点である。

・OSやソフトのセキュリティパッチを最新にしておく。
・アンチウイルスソフトを導入して定義ファイルを最新にしておく。

第二防御以降が必要となるのは、特にゼロデイと呼ばれる空白期間の攻撃に備える必要がある時だ。

どのような対策が第二防御で必要になるかを検討するために、最近のマルウェアの傾向を調査すると、次の２点の特徴があることがわかる。

１　情報盗取を目的としたトロイの木馬。
２　メール添付ファイルから感染
　・Office文書に仕込まれたマクロ
　・PDF文書になりすました実行ファイル
　・偽のプログラム（PDFリーダーなど）のインストーラー

まずこれらの傾向から、たとえ１００人や１０００人に一人でも感染すると、システム全体に影響が及ぶケースにおいて、第二防御が必要であると考えられる
「ネットワークに接続されている端末」が最も優先度が高い。以下次の順番になろう。

攻撃のパターンを洗い出すと、いずれもメールの無害化によって、攻撃を防ぐことが出来ることがわかる。

メール無害化については大きく分けて３つの対策がある。

無害化ツールは下記機能を持つ。

・添付ファイル削除
・添付ファイル無害化
　- テキスト化、PDF化
　- ファイル内マクロ削除、スクリプト削除
　- 実行形式ファイル削除（パスワードZIP内含む）
・メールリンクURL削除・無効化

無害化ツールは、VPNを含み社内に直接接続するPC端末や、機密情報を保存しているPC端末環境の「第二防御」として有効なツールである。

ADのグループポリシーで下記設定を行う対策だ。

・Officeマクロの一括禁止
・ユーザのインストール権限剥奪

この対策は、業務でOfficeマクロを実施しないケースでは、費用がかからないという点は大きなメリットと言えよう。

PC端末にDoCANを導入することで、メール無害化を実現することが出来る。ただしDoCANはセキュアブラウザなので、メールもブラウザアクセスが可能なことが条件となる。

DoCANでは添付ファイルなどダウンロードされたファイルはDoCANオフィスで開くこととなる。この時DoCANオフィスの下記機能によって、メールの無害化を実現している。

・マクロを無効化する
・インストーラーなどの実行ファイルを無効化する

PC内にはDoCANオフィス以外にもMicrosoft Officeを起動することが出来るため、PCにて業務マクロを使用することも可能だ。（メールからの添付ファイルやダウンロードファイルのマクロだけが無効化されるため）

メール無害化の具体的な対策は、そのメリット・デメリットを見ながら検討して欲しい。

・マルウエア対策は少なくとも第一防御は必須
　- セキュリティパッチとアンチウイルスソフト

・第二防御はメール無害化が効果的
　- 対策案１：無害化ツールの導入
　-対策案２：ADグループポリシーによる機能制限
　-対策案３： DoCANブラウザ＋DoCANオフィス