メールなりすまし対応現場が 修羅場すぎる 立命館大学 情報理工学部 情報システム学科 上原哲太郎 標的型攻撃の脅威が語られて長いのに… ※IPA情報セキュリティ10大脅威を元に 日立ソリューションズ武田一城氏まとめ 認識自体は2006年にはあり 大きく顕在化したのが2011年 年金機構事件の大きな構図 LAC「日本年金機構の情報漏えい事件から、我々が得られる教訓」より 標的型メール攻撃対策訓練大流行 しかし開封率は? NISCによる政府職員6万人向け訓練(H.23) 1回目 添付ファイル 開封率 10.1% 2回目 リンク型 開封率 3.1% LAC社「ITセキュリティ予防接種」訓練 24社・団体アンケート(H.24) 1回目平均 36.1% 2回目平均 16.4% ただし1社はむしろ上昇 NRIセキュア社「標的型メール攻撃シミュレーショ ン」集計(H.23~25) 従業員の開封率は16~22% 役員の開封率は28~31% 約1.5倍 開封率を問うことの意味は?! どうせ0%にはならないしできない 人のアノマリ解析力は高くない(正常バイアス) 敵は成功するまで繰り返すので 次第に見分けはつかなくなる 組織内で1人でも開封すれば攻撃は成功 標的型メール開封を責任問題にすれば 業務効率低下は明らか 「開封後の初動」を訓練するために行うもの それとて「ばらまき型標的型メール」では効果あるが 相手を絞った標的型メールでは 組織対応のトリガになりにくい 今こそメールを考え直すとき 「不審なメール」を見分けるのは不毛 メールと業務との関係を見直すべき 元々本来業務システムの操作とメールが あまり結びついていないなら「系統分離」 基幹業務システムが動くLANと ネットに繋がる「情報系」LANを作り、間を分離 多くの金融機関や、警察・自衛隊などの「堅い組織」 年金機構や自治体の事後対策で進行中 組織内メールはグループウェアで代替など メールと業務が切り離せないなら? 「不審なメール」を機械的に仕分けたい 組織内メールがほとんどなのであれば 送信者が確認できるものを 内部はグループウェアに限るようにした例 機械的なら攻撃 通常の認証なし無暗号なメールを 「際立たせる」工夫が必要 メールの認証技術 ドメイン単位の認証 SPF:送信元IPアドレスをDNSで宣言 実装が容易なので普及率は高い 転送メール問題、ノマド利用者問題、ML問題あり DKIM:メールに署名をつける その公開鍵をDNSで配布 多くは署名者=送信元ドメインの管理者 メールの改ざん検出まで可能 MLなどで再転送時に本文に修正が入ると問題に 普及率もそこそこ いずれも課題は「受信者への見せ方」 「運用ルールの緩さ」 メールの認証技術(続) メール送信者別の認証 OpenPGP 送信者ごとに公開鍵暗号を用いる 公開鍵の信頼は別途確保する必要 S/MIME 送信者ごとに公開鍵暗号を用いる 公開鍵の信頼はPKIで確保 厳格な送信者認証と暗号化を実現 組織単位でなくユーザ単位でも導入可能 しかしいずれも普及率は限定的 S/MIMEの普及を妨げるもの 個人証明書の導入にかかるコスト(運用含む) 特に組織単位での運用はそれなりに大がかり 運用ルールが厳格すぎる? そもそも個人証明書の運用ルールがあいまい 例えば期限切れ証明書の扱い クライアントの相互運用性 Webメールの個人の秘密鍵はどう扱うべきか 「DKIMじゃだめなの?」 なりすましに限ればDKIMで十分だが… 利用者が自分の意志でスモールスタートできない 将来の暗号化も見据えると… いつまで我々は「パスワードは別メールで」を 続けるのか? 求められる姿 通常の業務において受け取るメールの ほとんどは送信者が確認可能なもの そうすれば送信者認証がないメールは 「不審なメール」になる さらにレピュテーションを加える レピュテーションに基づいて攻撃を機械的検知 そんな時代の標的型メール攻撃は…? おそらくアカウント乗っ取り→窃用から始まる
© Copyright 2024 ExpyDoc
