メールのホワイトリストは、承認された送信者リストにメールアドレスを追加するプロセスです。理論的には、信頼できる送信者からの重要なメールがジャンクメールや迷惑メールフォルダに振り分けられることを防げるため、賢明な選択です。しかし、メールセキュリティに関しては、ホワイトリストに登録すると予期せぬ結果が生じる可能性があります。
自動的なホワイトリストの問題
多くのメールセキュリティソリューションには、メールをホワイトリストに登録するための自動化されたプロセスがあります。しかし、それらのプロセスは、善意から、多くの説得力に欠ける理由で不注意にメールアドレスに信頼を与えてしまいます。
自動的なホワイトリストは、スピアフィッシングやビジネスメール詐欺(BEC)の場合に特に問題になります。一部のメールフィルターは、単純なメールのやりとりを送信者が信頼されていることの証と認識します。例えば、スピアフィッシングメールを受信してハッカーに返信した場合、フィルターはそのメールに返信したことを認識し、そのメールを信頼できると想定します。そうして、そのメールアドレスはホワイトリストに登録されます。それ以降、そのハッカーからのメールがフィルタリングされることはありません。
自動的なホワイトリストを実行する別の方法は、CAPTCHAを使用することです。これは、一部のメールフィルターが送信者の確認に使用しています。このシナリオでは、ユーザーがメールを送信しようとすると、メールフィルターがCAPTCHAの応答テストを実行します。このテストをパスすれば、送信者がロボットではないことを確認できます。送信者がテストに合格すると、送信者のメールアドレスが確認され、ホワイトリストに追加されます。
CAPTCHA方式はスパムボットとの戦いに効果的ですが、今日信頼できるメールアドレスが明日も信頼できるとは限りません。CAPTCHAを介してホワイトリストに登録された後にメールアドレスが侵害された場合、そのメールアドレスはフィルタリングされないため、CAPTCHAの効果がなくなります。
メールのホワイトリストと侵害されたアカウント
RiskBased Securityの報告によると、2020年には370億件のデータ記録が漏洩しました。これらの記録のうち、32%はメールアドレスでした。フィッシングからマルウェアまで、侵害されたアカウントを介して配信される悪意のあるメールは、Microsoft 365などの企業環境に計り知れない損害を与える可能性があります。
侵害されたMicrosoft 365アカウントを使用すれば、サイバー犯罪者は、スイート内部からフィッシング、マルウェア、およびスピアフィッシング攻撃をしかけることができます。これらの攻撃を受け取る立場にいる受信者には、多くの場合、メールが危険であると疑う理由がありません。危険信号が出ていても、送信者が知っている人物ならば、ユーザーは危険信号を認識しない可能性があります。
それはまさに、2020年半ばから後半に次々と発生したEmotetメールの波で起こったことです。ハッカーは、侵害されたアカウントを利用して現在進行中のメールスレッドに侵入し、フィッシングリンクやMicrosoft Officeドキュメント、ZIPファイルを介してEmotetマルウェアを拡散させました。
誰も信じない
IT部門は、個々のメールアドレスやIPなど、安全な送信者を慎重に選択して削除できますが、自動的なホワイトリストを実行するソリューションは避けるべきです。信頼はデフォルトで無罪を推定するため、(あるとしても)提供されるメールアドレスはごくわずかです。
ゼロトラスト・セキュリティアーキテクチャは、送信者が安全であるとは絶対に想定しないという点で、従来のアーキテクチャとは異なります。ゼロトラスト・セキュリティモデルでは、内部送信者でさえ継続的な認証の対象となります。配信前と配信後のメール脅威の継続的な監視と連携して、ゼロトラスト・メールアーキテクチャは、最悪の事態を想定し、メール配信が試みられるたびに各送信者を必ず徹底的に調べます。
