多くのベンダーの「メールフィルタリング」に設定ミス サイバー攻撃の原因にも 米研究者らが調査：Innovative Tech

[山下裕毅，ITmedia]

Innovative Tech：

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

X： ＠shiropen2

　米カリフォルニア大学サンディエゴ校と米シカゴ大学に所属する研究者らが発表した論文「Unfiltered: Measuring Cloud-based Email Filtering Bypasses」は、クラウドベースのメールフィルタリングサービスの脆弱性を指摘した研究報告である。

　多くの組織がクラウドベースのメールフィルタリングサービスを導入し、高度化するメールの脅威から身を守っている。これらのサービスは、企業のメールサーバとインターネットの間に位置し、受信メールをフィルタリングして、スパムやマルウェアなどの脅威を取り除く役割を果たす。

クラウドベースのメールフィルタリングの概要

　しかし、このフィルタリング機能を実効性のあるものにするためには、組織のメールサーバを適切に設定し、フィルタリングサービスからのメールのみを受け入れるようにしなければならない。そうしなければ、悪意のある攻撃者がフィルタリングサービスを迂回し、直接組織のメールサーバにスパムメールを送信できてしまう。

　研究チームは、GoogleやMicrosoftのメールサーバを利用しつつ、サードパーティー製のスパムフィルターを導入している673個の「.edu」ドメインと928個の「.com」ドメインを調査した。その結果、全体で80％の設定ミスを確認。詳細は、Google Gmailで88％、Microsoft Exchange Onlineで78％、Zohoでも一部でフィルタリングサービスが迂回される設定になっていることが明らかになった。

攻撃の概要図

　また、メールフィルタリングサービスを提供している主要ベンダー15社のサービスを利用しているドメインを対象に、設定状況を詳細に調べたところ、ベンダーによって設定ミスの割合に差があることも分かった。中でもTrendMicroとProofpointの設定ミス率が特に高く、各ベンダーのドキュメントが適切な設定方法を説明していないことが一因であると指摘されている。

　一方、MimecastやBarracudaといったベンダーは、比較的設定ミスの割合が低かった。しかし、それでも多くの企業で設定ミスが見られたことから、ベンダー側のサポートや、導入企業側の管理体制にも課題があると考えられる。

GmailとExchange、各メールフィルタリングサービスとの設定ミスの割合

Source and Image Credits: Sumanth Rao, Enze Liu, Grant Ho, Geoffrey M. Voelker, Stefan Savage. Unfiltered: Measuring Cloud-based Email Filtering Bypasses.