送信者に電話で確認する - 新しいセキュリティプラクティス?

Phone the Sender – Best or Worst New Security Practice? by  Michael Rosen / 2018年4月30日より

  • 洗練されたフィッシング攻撃が、正当な取引先企業で起きたメールアカウントの侵害に起因している事があります。
  • 最近のセキュリティに関する「ベストプラクティス」の勧告いわく、予期せぬ添付ファイルが到着する都度、「送信者に電話で確認する」(!)...だそうです。
  • Bromiumは、ユーザーが生産性を損なわないよう、個々のメール添付ファイルを隔離することで、安心してクリックできるようにします。

日常的に接している相手から、多くの添付ファイルを受け取る事はありますか? セキュリティ指導の中の新たな「ベストプラクティス」として、送信者に電話をして、開封前に各メール添付ファイルの正当性を検証する必要があると言われたら、どうでしょうか?それも毎回、毎回だとしたら。

人生を通して、とまではいいませんが、これが就業中の生産性にどのような影響を与えるでしょうか? それを実践したとして、誰がそんな電話に繰り返し対応してくれますか? 予期せぬメールの添付ファイルを受信する都度、送信者に電話をかけるための余分な時間が本当にありますか?留守電にメッセージを残して、かかってくるかわからない折り返し電話を待つでしょうか?こうなると、そもそもメールを使っている目的の殆どから外れていきます。

現実に起きている事象の流れをみてみましょう:
  1. 既に取引のあるベンダー、顧客、各種パートナーがフィッシング攻撃の犠牲になり、攻撃者による通信履歴を含む完全なメールアカウントの詐取の発生
  2. 攻撃者は被害者のアカウント、署名、ロゴを使用して、それまでの組織間の正規の連絡に基づいて、高度にターゲットを絞ってフィッシングメールを送信
  3. メールには悪意のあるOffice文書、スプレッドシート、またはPDFなどが、実際の顧客名、口座番号、請求書番号を装って添付
このように巧妙で洗練された攻撃を受けたら、あなたなら何をしますか?

送信者に電話をかける。本当に?

先月、広範に配布された記事がネット上で拡散されて"枢機卿のルール"として、ローテクな解決法が伝えられました。

"確かに、注意深く観察するよう指導されている警戒心の強いユーザーの多くにとっても、攻撃者が高度にターゲットを絞ったこのような手法を使用している場合は、迷わしく、かつ危険な状況です。

ただし、このような状況からの保護のために、ユーザーに強調すべき基本ルールが1つあります。「添付ファイルについて、確認しましたか?」

もし未確認であれば、電話をはじめとする別のルートでダブルチェックして、送信者がそれを送ったかどうか、さらに添付ファイルを開く前に送信の理由も尋ねることを指示する事は、良い考えです。それ以外にできる事はほとんどありません。はい、多少の手間にはなりますが、それでもなお、「申し訳ありません」より安全を取りましょう。"

まあ、週に数十までいかないにせよ、仮にほんの1通のメール添付しか受け取らない場合でも、この方法があなたの企業全体規模で実 践されることはないでしょう。そしてもし義務化されれば、これは確実に生産性を著しく落とすでしょう。

さて、受信したメールの添付ファイルが正当であることを、少なくともそれらが有害ではないことを、どのように確認しますか? 電子メールのセキュリティ管理が貧弱な場合、若しくはまったくアテにならない場合なら、古臭い発想に基づいた推奨も、 何もないよりは優れています。結局のところ、この記事は「他にはできることがほとんどない」と嘆いています。私はそうではないと言い切れます。

Bromiumのお客様はよく知っています。 さらに多くのことを簡単に行うことができ、どのような場合でもユーザーの責任ではありません。 Bromiumの仮想化ベースのセキュリティは、受信したメールの添付ファイルをホストOSや内部ネットワークから隔離された、独自の使い捨てのマイクロVMとして自動的にハードウェア分離をし、送信元その他が疑わしいものであっても、マルウェアが含まれていたとしても、"ベストプラクティス"ユーザーはルール違反を恐れることなく添付ファイルを安全に開くことができるため、操作手順と、その健全性を維持できます。

「基本ルール」の大きな問題は、迷惑メール以外にも、正当な取引先から添付がついたメールも常に送られてくることです。これらは次の例を含む、広く一般的な業務での生命線です。

  • 買掛金 - 既存の仕入先からの請求書
  • 販売 - 既存の顧客からの注文や見積依頼
  • 在庫 - 既存の運送業者からの出荷や配送通知
  • 法務 - 委託している弁護士との契約や覚書
  • 人事部 - 応募者からの履歴書

運用での制限やIT部門による介入なしに、既知/未知双方の情報源からの添付をユーザの業務のために安全に開かせることができなければならないのですが、心配もリスクもない、侵害とは無縁なメールは実現可能です。昨今の周辺防御の必要性はアプリケーションレベルにまで縮小されており、エンドポイントを悪用し、内部ネットワークに踏み込んでくる、添付ファイルを悪用した既知、又はゼロデイのマルウェアに対する脆弱性があります。Bromiumのセキュアなアプリケーション隔離がメールのマルウェアスキャンやサンドボックス製品を補完する、防御の最終手段として明確なメリットをもたらし、ユーザ企業は次のことを実現できます。

  • マルウェアが含まれていても、Outlookやウェブメールから添付ファイルを安全に開くことが可能
  • メール添付ファイルへのアクセスを制限するなどの、制約的なセキュリティポリシーの排除
  • 生産性を損ない手間のかかる、手作業でのメールの検証手順の排除により、ユーザーの業務遂行に貢献
次回は送信者に電話をかけるのではなく、予期せぬ添付ファイルを受信したら、代わりにBromiumにお電話を下さい!

本和訳文の著作権は株式会社 ブロードに帰属します。 株式会社ブロードは米国Bromium社のアジア地区における総販売代理店です。