こんにちは!セキュリティチームの ぐっちー です。今日はメール添付ファイルで送付されてくるマルウェアについての対策についてお話します。メール添付ファイルにマルウェアをしこむ攻撃手法は昔からよく利用される手法ですが、この攻撃に対してmxHeroとBox Shieldを利用して対策を行いたいと思います。
前提条件
- 今回の手順を試す場合には、Box Shieldを利用できるBoxライセンスを購入し、初期設定を終えておく必要があります。詳細は当社含む販売店までお問い合わせください。
- 今回の手順を試す場合には、mxHeroのライセンスを購入し、初期設定が完了している必要があります。
- マルウェアの検出はBox Shieldの機能を利用して実施するため、検出の精度はBox Shieldに依存します。当然、Box Shieldの検知をすり抜ける高度な攻撃も考えられ、全てのマルウェアに対応することが難しいため、リスク評価に基づいて別の対策(EDRの利用など)と並行利用することが望まれます。(これは全てのセキュリティ製品に言えることですが念のため。)
利用したサービス
Box Shield
Box Shieldは、Box上のコンテンツを保護するためのセキュリティ機能(オプション機能)になります。大きく「スマートアクセス」と「脅威検出」という2つの機能を提供しています。*1
- 「スマートアクセス」では、分類(ラベル付)に基づくアクセスポリシーを定義して適用することで、共有、外部コラボレータの追加、ダウンロードなどの操作を制御できます。
- 「脅威検出」では、普段の業務活動から逸脱した行動について警告する脅威検出ルールを設定することができます。
今回利用したのは「脅威検出」の機能で設定することができる「悪意のあるコンテンツを検出する」になります。これは、Boxが独自で収集している脅威情報データベースと合致するファイルが発見された場合に、警告をあげたり、ダウンロードを防止する機能です。*2
さらに、この脅威検出の機能は2021年10月下旬にアップデートされる予定で、Deep Learning を利用した高度なマルウェア検出(ディープスキャン)にも対応します。*3
mxHero
mxHeroはメールの送受信される添付ファイルを、安全な自社管理下のクラウドストレージの共有リンクへ自動的に置き換えるサービスです。詳細は当社ホームページの製品紹介ページをご覧ください。
機能概要
- 社内のユーザーに対して、添付ファイル付きのメールが送信される。
- mxHeroによって、添付ファイルがBoxのストレージに格納される。
- 格納された添付ファイルに悪意のあるコンテンツが含まれていた場合、Box Shieldの脅威検出ルールを利用して以下を実施する。
- Boxウェブアプリから悪意のあるコンテンツにアクセスしたユーザー全員に警告のバナーを表示する。
- 事前に指定しておいたメールアドレスにアラートを送る。
- ダウンロードをブロックすることで、ウイルスの感染/拡散を防御する。(設定を実施していた場合のみ)
設定手順
Box Shield の設定
- [Box管理画面] > [Enterprise設定] > [Shield] > [検出ルール] > [ルールを作成] を選択する。
- [検出するルールの種類を選択]では、「悪意のあるコンテンツ」を選択します。
- 悪意のあるコンテンツのルールを作成する
- [ルール名]と[説明]には識別しやすい任意の値を入力してください。
- [アラートの優先度]は自社のインシデント対応のフローなどに応じて、設定してください。
- [通知の送信]に通知を送りたいユーザーを入力しておくと検出した場合の通知を行うことができます。
- [ダウンロードを制限]はオンにしておくと、その名の通りマルウェアを検出したファイルのダウンロードを制限できるので、オンにしておく。
mxHero設定
- [Fusion Rule]を新規作成する。若しくは既存のものを編集ボタンを押す。
2.[Fusion Rule]の設定画面において、 以下の様にFusion Ruleを設定します。
- マルウェア対策は受信メールがメインとなるので[間(between)]を選択し、受信メールもBoxに格納される様に設定する。
- クラウドストレージはBoxを選択する。
検出時の挙動
メールを受信
検証のため、アンチウイルスソフト応答テストファイルである「EICAR」を送付して動作確認をしてみました。尚、GmailやOutlook、iCloud、Yahoo Mailなどでは、デフォルトのセキュリティ仕様により「EICAR」の送信ができないため、テストではメール基盤を構築してメール送信しています。
Box Shieldの通知メール
「EICAR」を添付したメールを受信後数分で、Box Shieldがアラートを通知してきました。
最初に受領した添付ファイル付きメールのリンクから添付ファイルをダウンロードしようとすると、下記の通りダウンロードブロックされます。
さらに、Box上のファイルにアクセスしようとすると、警告が表示され、ダウンロードがブロックされていることが確認できました。(ダウンロード制限の設定をしている場合のみ。)
Shieldダッシュボードの情報
一方、Shieldダッシュボードでは、今回のアラートに対するさまざまが情報を見ることができます。
特にファイルアクティビティでは、アップロードされたファイルに対しての操作が確認できるため、ファイルの拡散防止のための調査に利用することができます。(下記の画像では、あえてダウンロード制限を外して、挙動を確かめてみました。)
終わりに
mxHeroもBoxも単体では、メール添付ファイルに対する高度なマルウェア対策を行うことができませんが、今回はこの2つ組み合わせることでマルウェア対策を実装しました。この設定をしたからといってマルウェアに関連するリスクがなくなることはありませんが、リスク軽減のための施策の1つとしては有効だと思いますので、是非ご参考にしていただけたらと思います。
参考資料
*1. Box Shieldの概要
*2. 脅威検出の使用