デジタルアーツは2017年5月8日、ゲートウエイ型で動作するセキュリティソフト2製品について、標的型攻撃対策機能を追加した新バージョンを発表した。メールセキュリティソフト「m-FILTER」の新版(Ver.5)と、Webセキュリティソフト「i-FILTER」の新版(Ver.10)である。2017年9月19日に提供開始する。価格は未定。販売目標は初年度10億円。
m-FILTERは、既存のメールサーバーと組み合わせて使うメール中継サーバーであり、誤送信対策や迷惑メール対策など各種セキュリティ機能を提供する。一方のi-FILTERは、Webプロキシーサーバーなどの形態で動作するURLフィルタリングソフトであり、業務と関係のないWebサイトやセキュリティ上危険なWebサイトへのアクセスを防止する。
「内部からの情報漏えい対策に加えて、外部からの標的型攻撃対策へと進出する」と、代表取締役社長の道具登志夫氏は新バージョンの意義を説明する。メールとWebアクセスという、業務上必要なインフラを介した標的型攻撃から企業を守ることによって、重要なデータが外部に漏えいしないようにする。
偽装メール判定とメール無害化の機能を追加
m-FILTERは、標的型攻撃対策として、不正コードや悪性サイトへの誘導を無害化する機能を追加した。
まず、偽装メールかどうかを、いくつかの条件で判定し、スコアリングしたうえで隔離する。また、隔離したメールに含まれているURLをi-FILTERに通知するデータ連携が可能なため、危険なサイトへのWebアクセスを防止できる。
送信元の偽装については、SPF認証の仕組みを使って、正しいメール送信元サーバーから送られているかどうかを調べる。インターネット上で直接メールを受信しないm-FILTERであってもSPF認証ができるように、メールヘッダーのReceivedフィールドを参照して送信元のIPアドレスを調べ、DNSのSPFレコードと比較する。
添付ファイルの拡張子の偽装も調べる。実行ファイルが添付されているかどうかを、ファイルのヘッダー情報で判定する。ZIPアーカイブされている場合であっても判定できる。さらに、リンク情報の偽装も調べる。リンクアンカー名とリンク先URLが異なるケースや、リンク先がIPアドレスになっているケース、実行ファイルなどの禁止拡張子へのリンクになっているケースなどを判定する。
偽装メールではない場合は、隔離はせずに、無害化する。具体的には、添付ファイルの削除や、HTML/リッチテキストメールのテキストメール化、リンクの無効化、添付ファイルがOffice文書の場合は、Office文書に含まれているマクロの除去、などを実施する。
データベースに登録されていないサイトは危険と判断可能に
一方、i-FILTERでは、標的型攻撃対策機能として、URLフィルタリングに使うデータベースに、検索エンジンに載っているすべてのサイトを掲載する、という手法を採用した。これにより、危険なサイトとしてカテゴリー分けされているサイトだけでなく、データベース上でカテゴリー分けされていない未知のサイトを危険なサイトであると見做せるようになる。
ローカルのデータベースを参照し、載っていない場合はクラウドのデータベースに問い合わせる。クラウドのデータベースにも載っていない場合は、クラウド側で該当のURLを調査してデータベースに反映し、ローカル環境に再配信する。このやり方によって、データベース登録の網羅性を100%に近付ける。
例として同社は、URL「http://www.yahoo.co.jp/」にアクセスした際に発生した89件のURLについて、現行版(Ver.9)と新版(Ver.10)それぞれのデータベースの網羅性を示した。現行版では89件中35件(39%)がデータベースでカテゴリー分けされているのに対して、新版では89件中89件(100%)がデータベースでカテゴリー分けされている。
標準では国内サイトに限ってデータベースに登録しているが、海外オプションの適用によって海外サイトを含めたデータベースを利用できる。