エモテット(Emotet)対策としてのS/MIMEの有効性
エモテット(Emotet)対策としてのS/MIMEの有効性
ここでは、エモテットの被害にあわない方法として、S/MIMEがどのように有効であるかについて記述します。
まず、エモテットの特徴をまとめると以下になります:
Emotetは、主にメールの添付ファイルを感染経路としており、感染した組織から取引先のメールアドレスなどの情報を窃取し、さらにその取引先へと拡散していきます。(引用: https://www.lanscope.jp/trend/16141/)
感染手口として、「電子メール経由で拡散」「特に「返信型」に注意」
送信型:感染環境で窃取したメールに対し、「返信」や「転送」の形式で攻撃メールを送信する攻撃手法。以前にやり取りしたメールの「返信」や「転送」として攻撃メールが来るので信用して開いてしまう可能性が高い。(引用: https://www.trendmicro.com/ja_jp/business/campaigns/emotet.html)
したがって、エモテットの基本は「なりすましメール」による攻撃になりますが、その攻撃の仕方が非常に巧妙です。上記の「返信型」の攻撃の場合には、実際に取引先との間でやり取りを行っているメールの返信の形で送られてくるため、普通のなりすましメールに比べると圧倒的に引っかかりやすいということになります。
それでは、ここからはエモテット対策としてのS/MIMEの有効性や想定できる課題、利用方法等について説明していきます。
1. エモテット対策としてのS/MIMEの有効性
上述したように、エモテットは主に「なりすましメール」による攻撃です。通常、なりすましメールに対する対策は、不審なメールの添付ファイルを開かないとかURLをクリックしないという社員教育が中心になります。もちろん、エモテットに対する技術的な対策もありますが、基本となるのは社員教育になります。社員教育は重要ですが、エモテットのような巧妙な攻撃になると、社員教育だけでは十分な成果を上げることが難しいと言えます。
S/MIMEは、メール送信者が、本当に自分が送信したメールであることを電子証明書を付与することで証明するものです。いわゆる、送信者の真正性を証明するものです。送信者が送信するメールに電子証明書を付与することで、受信者はそのメールが本当にその送信者が送ったメールであることを確認することができます。したがって、エモテットのような巧妙ななりすましメールを受け取ったとしても、そのメールに電子証明書が付与されているかどうかで判断することができます。
このように、S/MIME化が非常に有効な手段になりますが、問題となるのは、送信者と受信者の双方がS/MIME化を行い、双方が送信メールに電子証明書を付与することが必要となります。そのため、双方の合意が必要であったり、導入に向けて一手間が必要になります。
2. S/MIMEによるエモテット対策の考慮点
送信者が電子証明書を付与することで100%のエモテット対策になるかというと、以下の考慮点があります。考えられる範囲で良い点、課題をまとめて記述します。
① S/MIMEで100%なりすましメールを防げますか?
S/MIMEで100%なりすましメールを防げるということはありません。しかしながら、「電子証明書の付与されていないメールは安全ではないという環境」を作ることができます。取引先との間で相互にS/MIME対応を行うことで、その取引先からのメールに電子証明書が付与されていなければ、100%危険なメールであるという環境にすることができます。「電子証明書の付与されていないメールは100%危険であるという環境」を作れることは非常に有効であると考えます。
② 電子証明書が付与されたメールが安全でない可能性はどういう時ですか?
以下の2つのケースが考えられます:
I. 送信者のメールアカウントが乗っ取られるケース
送信者のメールアカウントが乗っ取られただけでは、電子証明書を付与することができません。したがって、安全であると言えます。
では、このメールアカウントに対して電子証明書を付与する方法があるかどうかですが、これは、有料の電子証明書なのか無料の電子証明書なのかによって以下のようになります:
有料の電子証明書の場合: こちらは、電子証明書を取得するときに本人確認が入りますので、乗っ取ったアカウントに対して電子証明書を発行していただくことは難しいです。
無料の電子証明書の場合: こちらは、電子証明書の取得の時に本人確認は入りません。したがって、乗っ取ったアカウントに対して電子証明書を発行してもらうことは可能です。要するに、無料の電子証明書の場合、あくまでメールアカウントがなりすまされていないことを証明するだけで、そのメールアカウントが本人そのものであるかの証明はできません。
メールの受信者は、メールに付与されている電子証明書を開いて確認しない限り有料の電子証明書かどうかの判断ができないので、単純に電子証明書が付与されているから安全であると判断することはできません。したがって、メールアカウントが乗っ取られることに対しては、S/MIMEでも防ぎきれない場合があります。
しかしながら、そもそもメールアカウントが乗っ取られるというケースはまれですし、セキュリティ対策として扱うべき問題ですので、S/MIMEが有効かどうかの判断にはならないと思います。
II. 別のアカウントを作成し送信者になりすますケース
勝手にメールアカウントを作成(独自にメールサーバを立てたり、パブリックのメールサービスを使用したり)するケースです。例えば、ABC社のメールアドレスとしては、xxx@abc.comとかになりますが、この人がGMAILにメールアカウントを作成し、送信者になりすますケースです。この場合、受信者のメールの差出人を「ABC社xxx」と表記することができます(ABC社xxx <xxx@gmail.com>など)。このメールアカウントの電子証明書を取得して、送信メールにその電子証明書を付与することは可能です。この場合も、上記と同様に有料の電子証明書の場合には本人確認が入るので電子証明書の入手は難しいですが、無料の電子証明書を取得することは可能です。したがって、送信元のメールアドレスを確認せずに電子証明書が付与されていることだけで判断すると問題になる可能性があります。
ただし、エモテット対策としてのS/MIME利用を考えた場合、対象となるのは日々やり取りを行っている取引先のメールアドレスになりますので、この問題になる可能性は極めて低いのではないかと考えます。
③ 電子証明書を盗まれるとどうなりますか?
電子証明書が盗まれたとしても、メールアカウントが乗っ取られていなければ問題になりません。なお、電子証明書はS/MIME以外にも使用できますので、電子証明書が盗まれても問題ないということではありません。
メールアカウントが乗っ取られて、かつ、電子証明書が盗まれた場合ですが、この場合でも、電子証明書をメールソフトに設定するには、その電子証明書用のパスワードが必要になりますので、パスワードが盗まれない限り安全です。
パスワードまで盗まれてしまうと完全に問題になりますので、電子証明書の管理、特に、パスワードの管理は厳重に行う必要があります。
このケースは、メールを扱っているPCごと乗っ取られアクセスされるような場合になりますので、セキュリティ対策として考える問題です。
④ 電子証明書を偽造する可能性?
あくまで可能性の話ですが、ハッカーの技術が向上し、電子証明書を偽造することができてしまうような状況になると、S/MIMEそのものが成り立たなくなります。現状、そのようなことはありませんので、心配してもしょうがないと思いますが、セキュリティの専門家は目を光らせておく必要はあるでしょう。
3. エモテット対策としてのS/MIMEの利用方法
エモテットの特徴として、上記のように「感染環境で窃取したメールに対し、「返信」や「転送」の形式で攻撃メールを送信する攻撃手法」が多いことから、この観点でのS/MIMEの利用方法を示します。以下のステップになります。
① 取引を行う担当者同士で、お互いにS/MIME化を行う(送信メールに電子証明書を付与する)ことを合意します。
会社全体でS/MIME化を行う必要はありません。担当者同士でOKです。もちろん、各社全体でS/MIME化することが理想ですが、S/MIMEはスモールスタートが可能であり、必要な人から始めて、順次広げていくことが可能です。
② 担当者のメールアカウントごとに、電子証明書の認証局あるいは発行業者から電子証明書を購入します。
③ 担当者が使用しているメールソフト(OutlookやThunderbird等)の該当のメールアカウントに電子証明書を設定します。
④ 取引先の担当者にメールを送付します。
以上です。
最後に、上記説明してきたように、エモテット対策として、S/MIMEは非常に強力な対策になります。取引先と双方で合意して実行することが必要となりますので、多少手間はかかります。しかしながら、猛威を振るうエモテットの状況を考えると取り組むべきものと考えます。
以上