図1●ビッグローブの「標的型攻撃メールチェックサービス」の仕組み
図1●ビッグローブの「標的型攻撃メールチェックサービス」の仕組み
(出所:ビッグローブ)
[画像のクリックで拡大表示]
図2●標的型攻撃メールと判定された場合の通知例
図2●標的型攻撃メールと判定された場合の通知例
(出所:ビッグローブ)
[画像のクリックで拡大表示]

 ビッグローブ(BIGLOBE)は2016年2月23日、クラウド型の「標的型攻撃メールチェックサービス」の提供を開始した。従来型のウイルス対策ツールでは防ぎきれない標的型攻撃メールに対応するためのチェック機能を提供する(図1)。

 主に中堅・中小企業を対象とし、専用機器を設置するのに比べて迅速に導入できるメリットを訴求する。既存のメールサーバーやクラウド型メールサービスのDNS(MXレコード)設定を変更するだけで利用可能。料金は50IDの場合の初期費用が5万円(税別)、月額費用が1万円(同)から。別途「BIGLOBEクラウドメールサービス」の契約が必要。

 ビッグローブはNECと協業し、米プルーフポイント(Proofpoint)の標的型攻撃対策ツールをクラウド環境で提供する。一般に標的型攻撃メールは従来型ウイルス対策ツールのチェックを通過するように“カスタマイズ”されていることが多い。2015年には日本年金機構など日本の公的機関・企業に対して、こうした手口によるサイバー攻撃が相次いで発覚した(関連記事:「狙われているのは年金機構だけではない」、カスペルスキーが標的型サイバー攻撃を解説)。

 ビッグローブの新サービスでは、不審な添付ファイル付きのメールを受信した場合、クラウド環境内のサンドボックス(仮想マシン)で添付ファイルを動作させて挙動をチェックする。「外部の指令サーバーとの接続を試みる」「OSのレジストリーを書き換えようとする」といった不審な挙動を示した場合は、メールを自動削除してその旨を受信者に通知する(図2)。

 URL誘導型の「時間差攻撃」に対応するのも特徴である。標的型攻撃では、メール本文中のURLのリンク先に不正なファイルを配置する手口がよく使われる。送信時は通常のファイルを置いておき、受信者がメールを閲覧しそうな時間に不正なファイルに置換する手口もある。新サービスは、時間差攻撃の疑いがあるURLを含むメールを受信した場合は、チェックツール経由で安全に接続できるようにURLを書き替える。

ビッグローブの発表資料