メールセキュリティでは、URLの書き換えはユビキタスな方法です。基本的な機能はベンダーによって異なる場合がありますが、考え方は同じです。ユーザーが受信トレイ内のURLを操作した時にURLを書き換えることで、URLの行き先が安全かどうかを確認できるようになります。しかし、メールのセキュリティが Email Secure Email Gateways(SEG、または単にゲートウェイ)に依存しなくなり、APIベースのアプローチに移行したことによって、URLの書き換えは時代遅れになってはいないでしょうか?
ハッカーたちの戦術の変化により、URLの書き換えが勢いを増しています。URLは、マルウェアから認証情報の盗難攻撃までメールベースの攻撃に長きにわたり関りをもってきました。組織は、セキュリティをさらに重視し始めたのと同時に、メールセキュリティベンダーにこの種の攻撃を阻止する支援を求めるようになりました。
ウィルス対策スキャン、登録済みブロックリスト、その他の静的脅威インテリジェンスリポジトリを使ってURLを調べることは、これらの攻撃に対する標準的な防衛対策になりました。しかし、ここで一つ問題があります。それは、脅威インテリジェンスが静的だということです。つまりハッカーは、攻撃で使ったURLをローテーションしたり、または過去に使用したことのあるURLのみが検出される可能性が高いことが分かれば、継続的に新しいURLを使用したりできるということです。
URLの書き換えの増加
しばらくの間、セキュリティ業界はこの問題に先手を打つ方法を考えなければなりませんでした。これが主にURLの書き換えが効力を発揮した点です。URLの書き換えの背景にある考え方は、URLを再度確認するためにURLの行き先を変えることです。ユーザーを直接URLの行き先に移動させる代わりに、URLを変更してユーザーをプロキシにリダイレクトします。
ユーザーのブラウザがプロキシページ上にある間、サービスはURLの行き先が静的脅威インテリジェンスリストにあるかどうかを確認します。つまり、このサービスはまだ静的脅威インテリジェンスに依存していますが、最初の配信時とクリック時の2回にわたって行き先を確認できるという追加の利点をもっています。
時間の経過とともに出現した多くの新しい進歩により、URLの書き換えがさらに便利なツールになりました。例えば、単に利用できる脅威インテリジェンスに最新の一致があるかどうかを調べるだけのサービスではなく、むしろ今日のサービスは、リアルタイムで行き先を確認し、短縮ツールから意図された行き先を抽出し、ページ検索を実行することで、なりすましのウェブサイトやログインページを特定したり、リダイレクトを追跡したり、その他多数の動的な確認作業を実行したりすることができます。
これは、ハッカーが新しい行き先をローテーションしたり、継続的に使用したりするのを阻むだけでなく、URL短縮ツールとURLリダイレクトを利用した最近の彼らの戦術を妨害するのにも非常に役立ちます。最後に、他のさまざまなチェックがすべて失敗しても、ユーザーが引き続き悪意のあるコンテンツを操作してしまった場合、ほとんどのURL書き換えサービスはユーザーが特定のURLを操作したかどうかを見抜きます。
一般的な問題と限界
URLの書き換えは、議論の余地なく長い道のりを歩んできましたが、そのアプローチに欠点がないわけではありません。マシンビジョンの最近の発展をよそに、ほとんどのURL書き換えサービスは、いまだに静的脅威インテリジェンスにかなり依存しています。ユーザーが配信されて間もない悪意のあるURLを操作してした場合、そのURLはまだ脅威インテリジェンスリストに追加されていない可能性があります。
一部のURL書き換えサービスは、配信の直後であろうと長い時間が経過した後であろうと、リンクを解除してしまう傾向があります。これが、コンテンツにアクセスしようとするユーザーだけでなく、機能していないURLに関する苦情を処理するヘルプデスクチームの悩みの種となります。
ここで言及すべきことは、別のテクノロジーの利用の増加です。つまり、フィッシングメールを模倣したトレーニングや意識向上プラットフォームです。これらのツールを通じて、たいていの場合、ユーザーはメール内のリンクにマウスオーバーして、その行き先に見覚えがあるかどうかを確認するように訓練されます。URLの書き換えには、元のURLと交換するための曖昧なURLが必要です。この結果として、マウスオーバーの手法はユーザーに複雑すぎるものになる可能性があります。
より良い方法がある
URLの書き換えにはメリットがあります。Vade独自のTime-of-Click (ToC) サービスは、引き続きお客様にご利用いただけます。リアルタイムのマシンラーニングに基づいた行動分析をするToCが、エンドユーザーにレイテンシーを生じさせることなく、高い精度でURLとウェブページの47項目の特徴を分析します。とはいえ、私たちは予測防衛を重視し、AIテクノロジーに継続的な投資することによって、悪意のあるURLが配信されたとしても、ユーザーがそれを絶対に操作しないようにすることに重きを置いています。
Vadeのメールコンテンツフィルターは10億個のメールボックスを保護し、1日に120億件以上のメールをスキャンしています。このデータは、メールのメタデータの最新のリアルタイムの分析を提供します。それには、URLのウェブページの分析、当社のAIモデルを訓練するために使われるグローバルな脅威インテリジェンスの生成、新たな脅威やフィッシング技術が出現した場合のそれらのインテリジェンスの微調整などが含まれます。
AI技術と脅威インテリジェンスのこの組み合わせが、Vade for Microsoft 365に統合されているAuto-Remediate機能を強化します。この機能は、脅威に対して先制攻撃を仕掛けることも配信後に対処することもできます。コンテンツフィルターのコンポーネントである Auto-Remediateは、メールおよびメールに埋め込まれたリンクの背後にあるウェブページを配信後も含めて継続的にスキャンします。
最初のスキャンでメール脅威を見逃してしまった場合、Auto-Remediateはメールを受信トレイから削除し、製品のセットアップ時に管理者が指定したフォルダにそのメールを移動します。管理者は、そのメールを削除したり、または、安全だと判断した場合は受信トレイに戻したりするなど、さまざまな方法でメールを修正できます。
Auto-Remediateの配信後の処理機能と組み合わせられたフィルターは、次世代のプロアクティブなメールセキュリティのアプローチをとる、より高い精度と効果を提供するToCの進化形です。さらに、Auto-RemediateはURLを書き換えないため、ユーザーは不審なリンクを特定するための重要な手順であるリンクのマウスオーバーによって、URLの行き先を確認できます。これにより、ユーザーはフィッシング対策トレーニングを活用できるようになり、ユーザーとビジネスの両方が保護されます。
さらに、Auto-Remediateはユーザーの受信トレイから脅威を即座に排除することによって、より優れた保護を提供し、ユーザーが悪意のあるメールや悪意のあるURLを操作する必要性がなくなります。
Vadeのパートナーの皆様には、フィッシング、マルウェア、スパムなどの脅威カテゴリーに応じてアクティブ化できる Auto-Remediateを有効にすることをお勧めします。ToCを介したAuto-Remediateをアクティブにすることを強くお勧めしますが、ToCの使用をご希望のパートナーは、Vade for Microsoft 365の管理コンソールでこの機能を有効化できます。
