メール無害化ソリューションでURLやエクセルファイルからのサイバー攻撃を防ぐ

公開日:

更新日:

サイバー攻撃対策
   

Resecライターチームです。

メール無害化は、総務省から発表された「自治体情報システム強靭性向上モデル」※1によって自治体を中心に広がりましたが、企業においても有効な手段です。

メール無害化といっても何を無害化するか、また無害化のレベル感はソリューションによって異なります。メール無害化のソリューションを検討する際は形だけの「無害化」とならないよう、必要な要件を押さえる必要があります。

本記事ではメール無害化ソリューションに求められる機能や比較ポイントについて解説します。

目次

メール無害化ソリューションとは?

メール無害化ソリューションとはメール本文や添付ファイル内に仕掛けられた、マルウェア等の脅威を無効化および除外するものです。

メールに潜む脅威として、例えばフィッシングメールを送りメール本文に記載されたURLから有害サイトに誘導したり、HTML形式のメールにスクリプトなどの不正なプログラムを仕込んで攻撃を仕掛けたりすることがあります。

また、メールの添付ファイルにマルウェアが仕込まれることもあります。

2019年頃から多くのメディアで取り上げられるようになった「Emotet(エモテット)」も、主な感染経路はメールの添付ファイル(主にWordExcel)に仕込まれたマクロから感染させるものでした。

このようにメールには様々な脅威が潜んでおり、無害化すべき箇所は多岐にわたります。

メール無害化ソリューションの比較ポイント

当社も多くの企業の方から、メールに潜む脅威への対策について、ご相談を受けています。

メールを無害化するソリューションは複数のメーカーから提供されていますが、比較したい観点は次の3点です。

URL(ハイパーリンク)の無害化

一番確実な方法は、すべてのURL(ハイパーリンク)を無効化または削除することです。しかし、中には無効化もしくは削除されては困るURLも当然含まれます。

ユーザビリティを低下させないためには悪性のURLのみを排除し、良性のURLに関してはそのまま利用できる必要があります。

添付ファイルの無害化

添付ファイルの無害化にはいくつか方法があります。

例えば添付ファイルをすべて削除したり、PDFやテキスト形式に変換したりする方法などです。

しかし、これらの方法は、業務上受信が必要なものである場合、利便性が損なわれるデメリットがあります。

そこで注目されているのがCDR(Content Disarm and Reconstruction)と呼ばれる、ファイルの無害化および再構築する技術です。

CDRはファイルをテキストや画像などのコンテンツ単位で分解し、マルウェアやスクリプト等の有害なコンテンツのみを取り除いたうえで、元のファイル形式に沿ってファイルを再構築します。

これにより必要なファイルの機能や見栄えを損なわずに、無害化した内容で利用することが可能です。

マクロの無害化

添付ファイルの中にはマクロ付きのファイルが含まれている場合があります。

マクロはプログラムの一部としてコードを実行することができるため、攻撃者はこれを利用してマルウェアやランサムウェアといった悪意のあるコードを文書内に埋め込み、文書を開いてマクロ機能を有効化したユーザに感染させることが可能です。

またEmotetの例のようにマクロ自体は無害であるものの、ダウンローダーとして動作し、マルウェア本体をダウンロードして実行させる方式もあります。

ダウンローダーそのものは外部からプログラムをダウンロードする機能しかないため、セキュリティソフトでの検出が難しい場合があります。

マクロの脅威対策としてはすべてのマクロに対し無効化あるいは削除する方法がありますが、業務上マクロが必要な場合、削除されてしまうことで、業務影響が発生してしまうでしょう。

したがって、一律の無効化ではなく必要なマクロのみを許可し、それ以外はブロックするなど柔軟にマクロの脅威への対策を行うことが重要です。

メール無害化ソリューションのおすすめはResec

当社がおすすめするメール無害化ソリューションは「Resec」です。

Resecはファイルベースのマルウェア脅威を対策するファイル無害化ソリューションです。

メールを含む、Webアクセス、クラウドストレージ、ファイルサーバ、USBメディア等、複数の経路を保護し、ファイルに含まれている既知および未知(ゼロデイ)のマルウェアを除去します。

メール無害化に関するResecの主な機能

Resecのメール無害化機能は、次の3つです。

URL(ハイパーリンク)の無害化

Resecでは以下の機能により、ハイパーリンクを用いた攻撃から組織を守ります。

  • メールやファイルの本文に記載された文字列と実際のリンク先URLが異なる場合、Resecではリンク先URLを本文記載の文字列に修正することが可能です。

Resecではリンク先URLを本文記載の文字列に修正することが可能

  • メールやファイルにハイパーリンクが存在する場合、Resecは当該リンクを「Google Safe Browsing」に問い合わせ、有害であると判断された場合にはブロックすることが可能です。
  • 指定したキーワードがハイパーリンク中に存在する場合、そのハイパーリンクをブロックすることが可能です。

添付ファイルの無害化

Resecは、既知か未知かを問わずファイルに潜む脅威を無害化します。

無害化の方法として、まず始めにファイルのコンテンツを分解し、ファイルフォーマットに定義されているコンテンツと比較します。

ファイルフォーマットにないコンテンツは除外し、定義されているコンテンツのみで忠実に再構築します。

Resecはファイルフォーマットにないコンテンツは除外し、定義されているコンテンツのみで忠実に再構築する


そのため、既知か未知を問わず脅威を排除し、高い再現性を持ってファイルを再構築することが可能です。また、Resecの無害化ロジックは、ファイルフォーマットとの比較を行うことをベースとするシンプルな仕組みのため、高速処理を実現しています。

ResecのCDR技術は第三者機関からも高く評価されており、『 2024 Globee Cybersecurity Awards 』において、CDR部門のGold Winnerに選出されました※2

また、Resecはパスワード付き添付ファイルの無害化にも対応しています。

メールでファイルを送信する際に、自動的にファイルを暗号化する仕組みを利用するケースがありますが、従来型のセキュリティ製品では暗号化されたファイルの内容を検査できないという課題がありました。

Resecは無害化処理を行う前にユーザへパスワード入力要求を行い、パスワードを解除してから添付ファイルの無害化を行います。そのため、暗号化されたファイルに対しても確実に無害化処理を実行できます。

マクロの無害化

他製品では、マクロ機能を持ったファイルに対し、有害/無害判定をせずにマクロごと削除することが多く、その場合、ファイルの機能が損なわれてしまう(=業務影響が発生)という懸念があります。

Resecは信頼できる安全なマクロを、コマンド単位でホワイトリスト登録ができ、ホワイトリストに登録されていないコマンドを含むマクロのみをブロックします。

※ブラックリストによる指定も可能です。

これにより有害なマクロのみ排除することができるため、業務に支障をきたすことなくマクロを利用することが可能となっています。

Resecは有害なマクロのみ排除することができるため、業務に支障をきたすことなくマクロを利用することが可能

まとめ

このようにResecは高度なセキュリティレベルを維持したうえで、業務影響を与えずにメールの無害化を行うことができます。

日々大量のメールを受信している中で、いかに従業員の業務効率を落とさずに無害化を行っていくかが重要です。

メール無害化ソリューションを検討する際は、上記の点を重視して検討してみてください。

メール無害化ソリューションに関するよくある質問

Q1.Resecが対応しているファイル種別を教えてください。

A1. PDF、Office系ファイル、HTML、メール、音声/動画ファイル等、約300種のファイルタイプに対応しています。

また、日本の顧客要望を受け、一太郎ファイルにも対応しています。

Q2.原本のメールや添付ファイルを取り出すことは可能ですか。

A2. 原本のファイルは一定期間、Resecの管理サーバ上(または任意の場所)に保管されます。管理者の方であれば、必要に応じて原本のファイルを利用者に送信することが可能です。

出典(参考文献一覧)

※1 総務省 | 地方公共団体における 情報セキュリティポリシーに関する ガイドライン(令和 4 年 3 月版) (参照日:2024-9-9)
※2 Resec  | Resec Wins Two Gold Globee Cyber Security Awards(参照日:2024-9-9)