URL書き換えは、ユーザーを安全な環境へリダイレクトすることで不審なURLを無害化する仕組みとして、メールセキュリティ分野で一般的に利用されてきました。しかしサイバー脅威が高度化するにつれ、このアプローチには限界と潜在的な脆弱性があることが明らかになりつつあります。
URL書き換えは、セキュアメールゲートウェイ(SEG)がメール防御の主要手段だった約10年前に登場しました。高速なメール配信と、悪意あるリンクからの保護を両立させるための手法として、潜在的に危険なURLを書き換え、クリック時にエンジンが安全性を解析する仕組みが採用されました。
当時は革新的な手法でしたが、技術環境の変化や新たなセキュリティ課題により、その有効性は徐々に低下し、新たな問題も生じています。本稿ではその点について解説します。現在では統合クラウド電子メールセキュリティ(ICES)ソリューションにより、従来の配信上の制約はほぼ解消され、より高度なURL解析が可能になっています。
URL書き換え:善意の仕組みと、その限界
URL書き換えは、増え続けるサイバー脅威からユーザーを保護する手段として、長くメールセキュリティ対策として採用されてきました。しかし、その有効性は時間とともに低下していることが明らかになっています。その理由は次のとおりです。
- 多層防御の弱体化:書き換えられたURLは、他のセキュリティツールのチェックをすり抜けてしまう場合があり、脅威が十分にチェックされない可能性があります。
- ビジネスメール詐欺(BEC)の見抜きにくさ:URL書き換えは不審なメッセージの一部だけを書き換えるため、攻撃の本質であるソーシャルエンジニアリングによるBEC要素を解決できません。結果として、ユーザーは攻撃者に返信してしまう余地が残り、攻撃者に別の手段でフィッシングを仕掛ける機会を与えてしまいます。
- セキュリティ文化醸成の阻害:リンクの実際の遷移先が見えなくなることで、クリック前にURLを確認するといった健全なセキュリティ習慣が育ちにくくなります。
- 構成のドリフト:さまざまなベンダー固有のプロトコルや管理構成により、すべてのURLが一貫して書き換えられるわけではなく、意図せずセキュリティ・ギャップが生じます。
- なりすましと誤ったセキュリティ:攻撃者はベンダーのURL書き換えを偽装し、ベンダーが書き換えたURLを信頼するユーザーの信頼を悪用してフィッシング攻撃を強化します。
Varonis Interceptorの実際の動作をご覧ください。
ブラウザによるライブスキャン:今日不可欠なメッセージングセキュリティ機能
現行手法の欠点が明らかになった今、より強固な保護を提供する次のステップとして「ライブスキャン」に移行する時期を迎えています。ライブスキャンは単なる書き換えではなく、悪意あるリンクを「除去・救済」、さらに3Dリンク型フィッシング手法に対する防御層も提供します。その方法は次のとおりです:
- 永続的なブラウザレベルのML: 最初のスキャン後も、ブラウザレベルの機械学習アルゴリズムは、最初の防御をすり抜けた可能性のある異常や脅威を絶え間なく探し続けます。
- コンテンツと意図の分析:URLや添付ファイルといった表面的な要素だけでなく、メッセージの「意図」まで精査することで、現代のサイバー脅威の複雑性に対応します。
- ゼロトレランスポリシー:メッセージのいずれかの要素が悪意のあるものとしてフラグ付けされた場合、メッセージ全体が環境から削除されます。これは表面的な隠蔽ではなく、完全な切除です。
- 原則:書き換えずに除去する。URL書き換えを行わないことで、ユーザーに対する透明性を維持し、「総合的に見える」だけではなく、実際に総合的なセキュリティを実現します。
ライブスキャンがもたらす変革
ライブスキャンは、既存のセキュリティ対策をわずかに改良したものではありません。段階的な改善ではなく、「次のレベルへと飛躍する」アプローチです。以下では、Varonis独自の技術を活用したその仕組みをご紹介します。
- 悪意のあるクリック追跡の可視性を維持する:悪意のあるクリック追跡はほとんどのICES解決策で失われますが、ブラウザ保護を使用することで選択を強いられることはありません。簡単で便利なパッケージで、古い戦略と新しい戦略を最適に組み合わせることができます。
- コンピュータビジョン技術:ライブスキャンの中核となるのが、当社独自のコンピュータビジョン技術です。不審な添付ファイルが検知されると、この技術が内容を詳細に解析し、ゼロアワーのフィッシング攻撃が潜んでいないかを精密に見極めます。
- 攻撃者の隠蔽手法を無効化:高度な攻撃者は、CAPTCHAページや複雑なスクリプトを用いてURLの遷移先を隠蔽しようとします。ライブスキャンは、こうした隠蔽手法を正確に見破り、その背後に潜む脅威を露出させます。
- 詳細なコンテンツ分析:ライブスキャンはページ全体を多層的に解析します。使用言語、HTMLソースコード、DOM(Document Object Model)上の異常などを詳細に検証し、コンテンツ内部に潜む潜在的なリスクを評価します。
- 行動コンテキスト分析:ライブスキャンは、静的分析にとどまらず、ページ内に潜む悪意ある意図や挙動を理解・特定するために「行動コンテキスト分析」を適用します。これは事後対応型の分析ではなく、微細な兆候を手がかりに脅威を先読みするアプローチです。
- 自律型メール検査:メールにおいて、ライブスキャンはユーザーのクリックを待って作動することはありません。最新のバーチャルブラウザー技術「Project Phantom」がメール内のコンテンツを事前に解析し、ユーザーが触れる前に脅威を検知・無力化します。
侵害が発生するのを待つ必要はありません。
結論として、従来のURL書き換えという「慣れた手法」から一歩踏み出し、より安全で透明性の高い防御を実現するライブスキャンへと移行すべき時期に来ています。これはデジタル空間を安全にするためだけではなく、セキュリティを日常のオンライン体験における「明確で理解しやすい基盤」として確立するための取り組みでもあります。
古いセキュリティ対策のまま、組織をリスクにさらすのはやめましょう。世界最高の検知率を誇るAIネイティブのメールセキュリティソリューション、Varonis Interceptorで、最先端のメールセキュリティを取り入れることが重要です。
デモを予約して、Interceptorが進化するサイバー脅威からビジネスをどのように保護し、フィッシング攻撃に対して優れた防御を提供できるかをご確認ください。
注:このブログはAI翻訳され、当社日本チームによってレビューされました
