Cisco E メール セキュリティ アプライアンス

フィッシング、スパム、ターゲット攻撃などの対策として E メール セキュリティを活用:高等教育機関向けに機能を組み合わせる

ホワイト ペーパー





フィッシング、スパム、ターゲット攻撃などの対策として E メール セキュリティを活用:高等教育機関向けに機能を組み合わせる



オンライン犯罪者は、常にターゲットにアクセスする新しい手段を探しています。たとえば、組織の E メール アカウントをハイジャックしたり、ホストの評判を利用したクローキングを行い、フィッシングで不正取得した認証情報を使って大規模なスパム メールの送信、ユーザのアカウント、財務、個人情報の盗難を行っています。高等教育機関で懸念される重要なセキュリティ上の問題がいくつかある中で、これは共通する問題となっています。高等教育機関におけるデータ漏洩は減少傾向にありますが、発生した場合には多額の被害につながります。バージニア コモンウェルス大学(VCU)で 2011 年 11 月に発生したデータ漏洩では、176,567 件の記録が漏洩し、大学の損害額は 2,000 万ドル近くに及びました。1ターゲット型攻撃は、このようなデータ漏洩だけでなく、より深刻な事態を引き起こす場合もあります。多くの教育機関が認証情報のフィッシング攻撃にさらされ、ブラックリスト対策に追われています。このホワイト ペーパーでは、このような深刻な問題に対処するために組み合わせて使用できるセキュリティ機能についてくわしく説明します。

背景


E メールおよびオンライン セキュリティに関して、学生と教授が持つ経験や知識はさまざまで、教育機関が提供する情報を特定する際の一貫した指針を提示することが難しくなっています。フィッシングや直接的な攻撃、ターゲット型攻撃によるメッセージをユーザの受信トレイから排除するためには、より高いレベルの保護が求められ、今後の攻撃や攻撃者がすでに入手している認証情報からの損害を抑えるには、2 次的な機能セットが必要です。

包括的な E メール セキュリティ ソリューションには、次の機能が求められます。

  • フィッシング攻撃の受信を防ぐ
  • スパムやフィッシング メールを認識できるようにエンド ユーザを教育する
  • スパムの送信を防ぐ
  • システムと、職務上、大量の E メールを送信する大学職員に影響を与えないように、送信メールのレート制限を行う
  • レート制限に達したとき E メール管理者にアラートを送信して、早期調査と修復を可能にする

必要とされる Cisco Email セキュリティの機能は次のとおりです。

  • 拡散防止フィルタ
  • 拡散防止フィルタの免責事項の事前の表示
  • 送信メールのアンチスパム スキャン
  • E メール送信者ごとのレート制限
  • 管理者用アラート メッセージ

これらの機能を組み合わせることで、エンド ユーザに対して組織が何に E メールを使用するかについてのポリシーの徹底をはじめとする、階層的な保護手段を確立できます。

機能の説明


拡散防止フィルタ:Cisco Email セキュリティの Cisco AsyncOS® 7.5 の新機能で、少量の直接的な攻撃やターゲット型攻撃に対処します。疑わしい E メールの URL を書き換え、シスコの技術に基づいたインターネット プロキシ サーバを介して URL にリダイレクトすることができます。Cisco Email セキュリティには、E メールの本文の前にカスタマイズ可能な免責事項を追加する機能が用意され、E メールでユーザ ID やパスワードを尋ねないことなど、組織の E メール ポリシーをユーザに提示することができます。

送信メールのアンチスパム スキャン:Cisco Email セキュリティの Outbound ソフトウェア サブスクリプションに含まれるこの機能を使用すると、管理者は、侵害されたアカウントから送信されるスパムをフィルタ処理することができます。シスコのライセンスは柔軟性が高く、アンチスパム スキャンのユーザ ライセンスを使用して発信メール フローと受信メール フローの両方をスキャンすることができます。

E メール送信者ごとのレート制限:AsyncOS 7.6 の新機能で、特定期間にユーザが送信できる E メール数に制限を課します。制限に達すると、メッセージの送信フローが停止されます。侵害されたアカウントにもハード ストップが適用され、大量のスパムの送信を防ぐことができます。アラート メッセージは、制限に達したとき、特定の管理者またはヘルプデスクの E メール アカウントに送信するように設定できます。例外リストを使用すると、職務上、大量の E メールを送信する必要がある場合など、ユーザまたは自動システムなどの特定の送信者がレート制限をバイパスすることができます。

大量スパム メッセージのスキャン:AsyncOS 7.5 の新機能で、スパムの検出と防止のためにスキャンできる容量に対する制限を引き上げます。スパム作成者がアンチスパム スキャンを迂回する手段の 1 つに、大量のメッセージを作成して送信する方法があります。大量スパム メッセージのスキャン機能を使用して、[Always Scan (常にスキャン)] のデフォルト制限を 512 KB に引き上げ、[Never Scan (スキャンしない)] の上限を 1 MB に設定すると、これらの 2 つの制限内のメッセージが Cisco アンチスパムで部分的にスキャンされます。

タスク 1:受信メール ポリシーの拡散防止フィルタを設定する


これらの設定は、受信メール ポリシーに対して設定します。

  1. 適切な権限を持つカウントを使用して、E メール セキュリティ アプライアンスにログオンします。
  2. [Mail Policies (メール ポリシー)] > [Incoming Mail Policies (受信メール ポリシー)] をクリックします。
  3. 目的のポリシーの下のハイパーリンク、[Retention Time: Virus 1 day (保管期間:ウイルス 1 日)] をクリックします。

これにより拡散防止フィルタを設定するためのページが表示されます。

  1. [Enable Message Modification (メッセージ変更の有効化)] ボックスをオンにします。

注: [Enable Message Modification (メッセージ変更の有効化)] ボックスをオフにすると、ウイルス拡散防止フィルタ機能のみが有効になります。新しい URL の書き換え機能を有効にするには、このボックスをオンにする必要があります。

  1. [Enable only for unsigned messages (未署名のメッセージに対してのみ有効にします)] をクリックします。

これは単にポリシー上の決定ですが、すべてのメッセージに対して URL の書き換えを有効にする場合は、署名付きメッセージの署名が破棄されるので注意してください。

  1. [Bypass Domain Scanning (ドメインのスキャンをバイパス)] ボックスに、URL の書き換えをバイパスするドメインを入力します。これには、ビジネス パートナーを含めることができます。

この設定を使用する場合は、注意してください。ドメインの URL の書き換えをバイパスすると、ネットワーク上の侵害されたマシンから悪意のあるメッセージを受信する可能性があります。

  1. [System Generated (システム生成)] の脅威免責事項を選択し、クリックしてプレビューします。

カスタマイズした脅威免責事項の使用は、ポリシーに応じて決定します。これらの免責事項を作成するには、[Mail Policies (メール ポリシー)] > [Text Resources (テキスト リソース)] 設定オプションを使用します。エンド ユーザに強いインパクトを与えるため、カスタマイズした免責事項に E メールから情報を引き出す変数を追加することができます。組織のポリシーに従って免責事項を表示するように、言語と URL を追加することもできます。

  1. [Submit (送信)] をクリックし、[Commit (コミット)] をクリックして変更を反映します。

タスク 2:大量スパム メッセージのスキャン機能を確認する


大量スパム メッセージのスキャン機能のデフォルトが変更されていないことを確認します。これらのデフォルト値を下げると、その有効性が低下する場合があります。

  1. [Security Services (セキュリティ サービス)] > [Cisco Anti-Spam (Cisco アンチスパム)] を開きます。
  2. [Message Scanning Thresholds (メッセージ スキャンのしきい値)] の次の設定を確認します。
    1. Always scan messages smaller than (このサイズより小さいメッセージを常にスキャン):512 KB
    2. Never scan messages larger than (このサイズより大きいメッセージはスキャンしない):1 MB

[Always Scan (常にスキャン)] 設定 (デフォルトで 512 KB) と [Never Scan (スキャンしない)] 設定 (デフォルトで 1 MB) の間のメッセージが部分的にスキャンされます。

タスク 3:送信メールのアンチスパム スキャンを設定する


シスコのライセンスは柔軟性が高く、追加ライセンス費用を支払わなくても、アンチスパム スキャン(および Cisco Virus Defense など)を使用して発信メールと受信メールの両方をスキャンすることができます。ほとんどのユーザは送信メールのスキャン機能を使用しませんが、ビジネス パートナーへのスパムの送信防止などの契約上の義務を果たし、感染したマシンにより組織が E メール ブラックリストに載ることを防ぐ上で有効な手段です。

これについては、最初にラボ環境でモデル化を行う必要があります。最低でも、送信メールのアンチスパム スキャンを設定する前に、アプライアンスへのロードを確認して、デバイスが過負荷状態にならないことを確認する必要があります。実稼働メール フローの部分コピーをラボ環境に送信し、徐々にその量を増やしながら影響を確認するために、メッセージ フィルタを使用することもできます。

  1. [Mail Policies (メール ポリシー)] > [Outgoing Mail Policies (送信メール ポリシー)] を開きます。
  2. 変更するポリシーの下の [Anti-Spam (アンチスパム)] 設定をクリックします。
  3. [Anti-Spam Scanning for This Policy: Use Cisco Anti-Spam service (このポリシーのアンチスパム スキャン:Cisco アンチスパム サービスを使用する)] を有効にします。

ここには他にも [Positively-Identified Spam (特定されたスパム)] や [Suspected Spam (疑わしいスパム)] など、ポリシーのニーズに従って設定する必要があるコントロールがあります。

  1. [Submit (送信)] をクリックし、[Commit (コミット)] をクリックして変更を反映します。[Outgoing Mail Policy (送信メール ポリシー)] ページに、選択したポリシーに Cisco アンチスパムが設定されていることが表示されます。

タスク 4:E メール送信者ごとのレート制限を有効にし、制限の例外リストと管理者用アラートを作成する


E メール送信者ごとのレート制限機能により、ユーザが一定期間に送信できる E メール数に制限を設定することができます。例外リスト機能を使用すると、職務上、大量の E メールを送信するユーザを制限から除外することができます。これにより、組織のマーケティング、カスタマー サポートなどの担当者は制限なく作業できる一方で、侵害されたホストの兆候を示す異常を監視して検出できます。

この作業に要する設定時間を短縮するには、E メール送信者に制限を設定する前に、例外リストを作成します。

  1. [Mail Policies (メール ポリシー)] > [Address Lists (アドレス リスト)] を開きます。
  2. レートを制限しない E メール アドレスまたはワイルドカード アドレスを使用してアドレス リストを追加します。

ここには、完全なアドレス、または部分的なアドレス(@.example.com など。これには @dc1.example.com などのすべてのサブドメインが該当しますが、@example.com は該当しません)を指定できます。除外する E メール アドレスの例として、組織幹部の E メール アドレスなどがあります。

  1. [Submit (送信)] をクリックしますが、ここでは [Commit (コミット)] をクリックしないでください。

例外リストを作成した後は、レート制限を設定できます。

  1. [Mail Policies (メール ポリシー)] > [Mail Flow Policies (メール フロー ポリシー)] を開きます。
  2. [RELAYED (リレー)] をクリックして開きます。

このページでは、各種の設定を変更できます。各設定の機能については、製品ドキュメントを参照してください。組織の E メール フローに悪影響を与える可能性があるため、このページの設定を十分に理解した上で変更を行ってください。

  1. [Mail Flow Limits (メール フロー制限)] セクションを下にスクロールして、[Rate Limit for Envelope Senders (エンベロープ送信者のレート制限)] をクリックして展開します。
  2. [Max. Recipients Per Time Interval (時間間隔ごとの最大受信者数)] に 60 分間に送信できる受信者数を設定します。

これは、ユーザが 60 分間に送信できる E メール数になります。この値が小さすぎるとユーザの生産性に影響を及ぼす場合があります。大きすぎると、アカウントが侵害された場合に、多くの望ましくない E メールが送信されることになります。

注: 時間間隔を変更するには、[Default Policy Parameters (デフォルト ポリシー パラメータ)] の設定を使用します。この設定と事前定義されたポリシー リスト全体のデフォルトは、[Unlimited (無制限)] です。デフォルト ポリシーの時間間隔を変更すると、ホスト アクセス テーブル(HAT)のすべてのポリシーが変更され、E メール フローに影響を及ぼす場合があります。デフォルト ポリシーの時間間隔を変更する場合は、変更前にデフォルトで [Unlimited (無制限)] に設定されていた他の E メール フロー ポリシーを後で必ず再設定してください。

  1. [Exceptions (例外)] の [Ignore Rate Limit for Address List: (アドレス リストのレート制限を無視する)] プルダウン メニューから設定済みのアドレス リストを選択します。
  2. [Submit (送信)] をクリックしますが、ここではまだ [Commit (コミット)] をクリックしないでください。

次の手順では、管理者用アラートを設定します。このアラートは、設定されているレート制限に達したときに送信されます。レート制限に達した場合には、マシンが侵害されスパムを送信していないかどうか、またユーザが制限に達している場合は職務上、制限から除外する必要があるかどうかを調べる必要があります。

  1. [System Administration (システム管理)] > [Alerts (アラート)] を開きます。
  2. [Add (追加)] をクリックしてアラート受信者の E メール アドレスを追加し、[System (システム)] アラート タイプに [Info (情報)] レベルを設定します。
  1. [Submit (送信)] をクリックし、[Commit (コミット)] をクリックして変更を反映します。

タスク 5:設定した機能を確認する


以上の手順で機能を設定し、E メール セキュリティ デバイスに対する変更をコミットしました。これらの機能に関するデータは、レポート、拡散防止フィルタの検疫、メッセージ追跡機能ログ、システム ログで確認することができます。また、設定によっては、Cisco アンチスパム検疫にメッセージが配信されている場合もあります。

E メール送信者ごとのレート制限のレポートは、[Monitor (モニタ)] > [Rate Limits (レート制限)] で確認でき、[Top Offenders by Incident (インシデント別の上位違反者)] および [Top Offenders by Rejected Recipients (拒否された受信者別の上位違反者)] を示します。

Cisco アンチスパム ルールに違反したメッセージ数は、[Monitor (モニタ)] > [Overview (概要)] レポートか、[Monitor (モニタ)] > [Outgoing Senders (送信者)] レポートで確認できます。

拡散防止フィルタは、一時的な検疫を使用して疑いのあるメッセージを隔離します。解放されたメッセージは、E メールが検疫された後に受信した更新後のアンチスパム ルールを使用して Cisco アンチスパムにより再スキャンされます。検疫にアクセスするには、[Monitor (モニタ)] > [Quarantines (検疫)] を開き、[Outbreak (拡散防止)] 検疫をクリックして開きます。

拡散防止フィルタ レポートにアクセスするには、[Monitor (モニタ)] > [Outbreak Filters (拡散防止フィルタ)] をクリックします。

メッセージ追跡機能も使用可能で、拡散防止フィルタ、アンチスパム、レート制限により検出されたことなど、メッセージの処理情報が表示されます。

さらに、mail_logs ログ ファイルにもメッセージの処理情報が含まれています。

ログ エントリの例を示します。

Outbreak Filters: Fri Apr 20 09:02:09 2012 Info: MID 2099 quarantined to "Outbreak" (Outbreak rule: Phish: Phish)
Rate Limiting per Mail From: Mon Jul 2 15:38:12 2012 Info: MID 2219 To: <user2@example.com>
From: <user1@internal.com> Rejected by Rate Limiting per Envelope Sender

まとめ


設定した機能を組み合わせて使用することにより、外部からのスパム攻撃に対して優れた保護手段を講じることができます。教育機関では、追加レポート、ログ エントリ、アラート メールを活用することにより、問題を速やかに解決し、E メールのブラックリストに載るのを防ぐことができます。

Cisco アンチスパムまたは Cisco Email セキュリティの詳細については、www.cisco.com/jp/go/emailsecurity/ をご覧ください。


1 Daily Open Source Infrastructure Report、米国国土安全保障省、2012 年 3 月 14 日。