新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

メールリンク分離:最新のフィッシング攻撃に対するセーフティネット

2023-01-11

5分で読了
この投稿はEnglishFrançaisDeutschEspañol简体中文でも表示されます。

電子メールは、企業が日常的に使用する最も普遍的で最も利用されているツールの1つです。電子メール内の悪意のあるリンクをユーザーにクリックするように仕向けることは、最も高度な犯罪組織から最も経験の少ない攻撃者まで、悪意のある行為者の大多数の戦術として長年に渡って使用されています。

Email Link Isolation: your safety net for the latest phishing attacks

これは、アカウントのアクセス権を獲得したり、不正を犯したりするための一般的に知られたアプローチですが、ユーザーは未だに悪意のあるリンクをクリックするように誘導され続けており、悪用されるケースが後を絶ちません。その理由は明白です。最高の訓練を受けたユーザー(およびセキュリティソリューション)でさえ、良いリンクと悪いリンクを常時区別することができないからです。

その上、従業員のメールボックスを安全にすることは、多くの場合、複数のベンダー、複雑なデプロイメント、および膨大なリソースの消費をもたらします。

メールリンク分離により、Cloudflare Area 1は、フィッシング攻撃からの保護に関して最も包括的な電子メールセキュリティソリューションをお客様に提供します。これは、悪用の可能性のあるリンクを書き直し、ユーザーが訪問しようとしているWebサイトが正しいものではない可能性があることを警告することでユーザーに注意を喚起し、ユーザーフレンドリーな Cloudflareのブラウザの分離サービスを通して、マルウェアと脆弱性からの保護を提供します。また、本ツールはワンクリックでデプロイできる、Cloudflare製品の特長を備えています。

不正なリンクからの保護

数十のお客様がベータ版を利用し、(現時点で)100万以上のリンクが保護されていることから、このソリューションが提供できる重要な価値と潜在的な可能性を立証することができました。これらの利点をより多くのお客様に拡大し、この技術を適用するさまざまな方法を広げていくために、**本日から「メールリンク分離」を一般利用可能(GA)**とすることになりました。

「メールリンク分離」は、Cloudflare Area 1 Enterpriseをご利用のお客様であれば追加の費用なしに、クリック3回で有効にすることが可能です。

1. Area 1ポータルにログインします。

2. [設定(Settings)](歯車アイコン)に進みます。

3. [電子メールの設定(Email Configuration)]で、[電子メールポリシー(Email Policies)] > [リンクアクション(Link Actions)]へと進みます。

4. [Email Link Isolation(メールリンク分離)]までスクロールし、有効にします。

レイヤーでの防御

脅威アクターは、それぞれのセキュリティ対策を回避し、より複雑な攻撃を展開する方法を常に探しているため、何重もの防御を適用することがますます重要になっています。これらの進化する技術を実証する最も良い例の一つが、遅延フィッシング攻撃です。この攻撃は、電子メールがメールセキュリティスタックから最終的にユーザーの受信箱に到達した時点では埋め込まれたURLは無害ですが、配信後に兵器化さるというものです。

悪意のあるリンクなど、電子メールによる進化する脅威に対処するために、Area 1は継続的に機械学習(ML)モデルを更新して潜在的な攻撃ベクトルを考慮に入れ、追加の防御層として配信後のスキャンおよび差し戻しを機能に追加しています。そして現在、Enterpriseプランのお客様は、セーフティネットという最後の防御として、「メールリンク分離」もご利用いただけるようになりました。

Timeline of events, where a legitimate webpage is initially set up and linked to. A few days later, once the email has been identified as benign and delivered to the end users, the webpage is then weaponized.

複数のベンダーからばらばらの製品セットを使用することなく、強力なZero Trustスイートを使用することがセキュリティ層の追加を成功させる鍵となります。ユーザーには、生産性を損なわない安全性の確保が必要です。そうでなければ、重要な電子メールが隔離されてしまったり、Webサイトにアクセスする際の使い辛さから、会社のセキュリティ対策を回避する方法を探し始めることになるでしょう。

生産性への影響を避けるための構築

「メールリンク分離」は、ユーザーのエクスペリエンスを実質的に邪魔することのない追加のセキュリティ層を提供します。どのリンクが安全で、どのリンクが悪意があるものか、そしてどれが疑わしいかをすぐに確認することができます。その後、それらの疑わしいリンクは変更され(正確に言うと書き換えられ)、「メールリンク分離」では、高い信頼性で裁定に達するまで、それらのリンクを評価し続けます。ユーザーがそれらの書き換えられたリンクの1つをクリックすると、「メールリンク分離」は裁定(良好か悪意のある)を実行します。良好なリンクはローカルのブラウザで変更がない状態と同様に開くことができますが、悪意のあるリンクは開くことができません。

特筆すべきは「メールリンク分離」が、利用可能なすべての情報に基づいて確実性を持って裁定を行うことができない場合、インタースティシャルページが表示され、ユーザーに特別な警戒を求めることです。インタースティシャルページからは、Webページに疑いがあること、ユーザーがWebサイトを知り、十分に信頼しない限り、個人情報やパスワードの入力を控えることが要求されます。ここ数か月間、ベータ版を利用したユーザーの3分の2以上が、このインタースティシャルページを見た場合、該当するWebサイトに進んでいないことが明らかになりました。これは喜ばしいことです!

インタースティシャルページを参照した後でもWebサイトに移動したいユーザーのために、「メールリンク分離」がCloudflareのブラウザの分離機能を使用して、ユーザーから最も近いCloudflareのデータセンターで動作する分離したブラウザでリンクを自動的に開くようにしています。ブラウザの分離は、ネットワークベクトルレンダリング(NVR)技術とCloudflareの拡張性のある低遅延ネットワークを使用して、ローカルブラウザの使用と実質的に遜色のないエクスペリエンスをユーザーに提供します。疑わしいリンクを分離されたブラウザで開くことで、ユーザーは潜在的なブラウザ攻撃(マルウェア、ゼロデイ、および他の種類の悪意のあるコード実行を含む)から保護されます。

簡単に言うと、Webサイトについて不確かな場合、「メールリンク分離」によりインタースティシャルページが表示され、フィッシング攻撃に対する注意喚起と保護の別の層が提供されます。そして、ユーザーがこのようなWebサイトに進むことを決断した場合は、悪意のあるコード実行から保護するためにCloudflareのブラウザの分離機能が使用されます。

ベータ版での実証

予想通り、書き換えられたリンクをユーザーが実際にクリックする割合は非常に低いことがわかります(1%台)。これは、このようなリンクの多につけられたメッセージがユーザーが期待するような内容では無く、信頼できる同僚やパートナーから配信されたものでもないからです。したがって、ユーザーがこれらのリンクをクリックした場合でも、インタースティシャルページが表示され、ユーザーの大半がそれ以上進まないことを決断します。実際にWebサイトを訪れるユーザーは、クリック全体の半数以下であることがわかっています(ブラウザの分離は、裏側で実行されている可能性のある悪意のあるコードから保護するため)。

これらの書き換えられたリンクへのクリックがなぜ思ったよりも少ないのかと疑問に思う方もいるかもしれません。その答えは簡単です。「メールリンク分離」のリンクは、実際に、他の防御線をすり抜けた攻撃ベクトルに対する最後の防御層であるということです。ユーザーをだまして悪意のあるリンクをクリックするよう仕向けるフィッシング攻撃は、事実上、Area 1 Email Securityにより阻止されてメッセージがユーザーの受信箱に届くことはありません。

metrics we are adding for Email Link Isolation show total user clicks and percentage that didn’t proceed past the interstitial, opened the link with Cloudflare Browser Isolation, or directly
additional info on Email Link Isolation usage shows the recipient of the email message, the links clicked, and actions

バランスは非常に良好です。「メールリンク分離」のベータ版を使用している一部のFortune 500企業であるすべてのお客様からは、ユーザーエクスペリエンスに対するネガティブなフィードバックは得られませんでした。これはつまり、ユーザーにマイナスの影響を与えることなく、そしてSOCおよびITチームに調整・管理の負担を加えることなく、追加のセキュリティを提供するという、最も難しい目標の1つを達成しているということです。

興味深いのは、リンク短縮のクリック時間インスペクションを見つけることが、お客様にとってどの程度価値があるかということを明らかにしたことです。実際、URLの短縮(例:bit.ly)は、いつでも別のWebサイトを指し示すように変更することができるため、一部のお客様を不安にさせます。「メールリンク分離」は、クリック時にリンクを検査し、開く実際のWebサイトを評価し、ローカルで開くか、ブロックするか、適切な場合はインタースティシャルページを表示します。現在、Cloudflareは、「メールリンク分離」を通して、完全なリンク短縮のカバレッジに取り組んでいます。

すべてをCloudflareで構築

Cloudflareのインテリジェンスが、何を書き換えるかの決定を後押ししているのです。私たちは、他の人々より早くシグナルを受け取っています。

「メールリンク分離」は、Cloudflareの抱える多くの分野に対する独自の機能をベースに構築されています。

第一に、Cloudflareは、新しく信頼性の低い潜在的に危険なドメインを誰よりも早く確信をもって識別できるだけの十分なインターネットトラフィックを観察していることから、この初期シグナルのためにCloudflareインテリジェンスを活用することが、ユーザーが日常業務で正当なWebサイトを表示する速度に影響を与えないための、ユーザーエクスペリエンスにとって重要な鍵となります。次に、Cloudflare Workersを使用して、このデータを処理し、ユーザーに不満を抱かせるような遅延を生じさせることなく、インタースティシャルページを提供します。そして最後に、Cloudflareのブラウザの分離だけが、ローカルブラウザと遜色のないエクスペリエンスを提供し、エンドユーザーには判別不能な低遅延体験で、悪意のあるコードから身を守ることができるのです。

現在、Cloudflare Area 1をご利用中でないお客様の場合は、こちらから、無料お試しとフィッシングのリスク評価をお申し込みください。

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
CIO WeekゼロトラストセキュリティCloud Email SecurityEmailRemote Browser IsolationSASE

Xでフォロー

João Sousa Botto|@jsbotto
Cloudflare|@cloudflare

関連ブログ投稿

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...