インターネットインフラ企業であるCloudflare(クラウドフレア)は、DDoS(分散型サービス妨害)からの防御やブラウザー分離、モバイルVPNなど、すでに顧客のセキュリティ対策に大きくかかわってきた。そしていま、同社はウェブ上で古くから世話を焼かせてきた電子メールのセキュリティ対策に乗り出している。
Cloudflareは9月27日(米国時間)に発表したのは、電子メールの安全性とセキュリティに関するふたつのサーヴィスだ。同社はこれらのサーヴィスを、より効果的に標的型フィッシング攻撃を阻止し、アドレス偽装の効果を低減し、ユーザーが悪意のあるリンクをクリックしてしまった場合の影響を軽減する第一歩とみている。
関連記事 :もう「Gmail」では物足りない? 個人情報保護を重視したメールサーヴィスという選択肢
これらの機能は、主に中小企業や法人顧客を対象に無料で提供される。また、GmailやMicrosoft 365、米Yahoo、さらにはインターネット黎明期の遺物ともいえるAOLといった既存の電子メールホスティングサーヴィスに追加しても利用できるように設計されている。
Cloudflareの最高経営責任者(CEO)のマシュー・プリンスによると、同社は2009年の創業以来、電子メールという厄介な問題に近づくことを意図的に避けてきたという。一方でプリンスは、電子メールのセキュリティ問題の勢いが衰えることがないことから、対策の必要に迫られたのだと付け加える。
「わたしはグーグルやマイクロソフト、ヤフーなどのメールのシステムを提供する企業がこの問題を解決してくれるものと思っており、この分野でわたしたちができることがあるのか確信をもてないでいました。しかし、この2年間で電子メールのセキュリティ問題がいまだに解決に至っていないことが明らかになったのです」
プリンスによると、Cloudflareの従業員は同社がメールに利用している「Google Workspace」を経由してくる標的型攻撃の脅威の多さに「愕然としている」という。これはグーグルやほかの大手プロヴァイダーのスパム対策やマルウェア対策が遅れているからではないのだと、プリンスは言う。
とはいえ、これだけ多くの種類のメールを一度に処理しなければならないとなると、戦略的に作成されたフィッシングメッセージであればすり抜けてしまうこともありうる。そこでCloudflareは、自社だけでなく顧客が利用できる追加の防御ツールを構築することを決めたのだ。
ふたつの解決策
Cloudflareが解決策として提供するツールはふたつある。「Cloudflare Email Routing」と「Email Security DNS Wizard」だ。
これらのツールにより、顧客はCloudflareを電子メールホスティングプロヴァイダーの前面に配置できるようになる。Cloudflareに電子メールを受信して処理してもらった上で、世界中のマイクロソフトやグーグルに送信してもらえるようになるという仕組みだ。
これはウェブサイトのコンテンツ配信ネットワーク(CDN)としてCloudflareが長年果たしてきた役割と似ている。ウェブトラフィックを“仲介”してきた同社はトラフィックを中継する立場を利用して、データの配信や悪意ある活動を阻止できるわけだ。
Cloudflare Email Routingでは、個人や組織が「@coolbusiness.com」のようなカスタムメールドメイン全体を、個人のGmailアドレスといった消費者向けメールアカウントひとつから管理できる。このツールではさらに、「boss@coolbusiness.com」や「help@coolbusiness.com」といった多数のアドレスを統合し、すべのアドレスのメールを単一の受信トレイに転送するように設定したりもできる。特に小規模な企業は、こうして個別のプラットフォームを管理することなく、専用のカスタムメールドメインのメリットを享受できるわけだ。
ふたつ目のツール「Security DNS Wizard」は、Cloudflareの顧客にふたつのメールセキュリティ機能を提供し、簡単に利用してもらうことを目的としている。Sender Policy Framework(SPF)とDomainKeys Identified Mail(DKIM)とは基本的に、電話の発信者番号通知と着信拒否に相当する機能を組み合わせた電子メール向けのツールである。
これらのツールは、あらかじめ設定されたDNSレコードの情報とメール送信者の情報が一致した場合に限ってメッセージを通過させるようになっており、電子メールアドレスの偽装を減らすことを目的としている。これにより、例えば攻撃者が「クールビジネスCEO」になりすましたメールを従業員に送信する難易度が大幅に上昇する。
SPFとDKIMは10年以上前から存在しているが、完全に普及するには至っていない。なぜなら、正当なメールが遮断されるといった問題が発生しないように設定することが難しいからだ。CloudflareのEmail Security DNS Wizardの目標は、ユーザーがいずれか一方の保護機能を問題なく簡単に設定できるようにすることである。
「これらはどちらも昔からある技術ですが、設定が非常に複雑で、場合によっては危険なことから、あまり利用されていないのが問題です」と、プリンスは語る。「わたしたちはこの技術を導入し、簡単にし、無料にすることで利用率が大幅に拡大し、標的型フィッシング攻撃やドメインの悪用が減ることを期待しています」
個人のデータは守られるのか?
最終的にCloudflareは、このふたつのツールに加えて、さらに包括的なサーヴィススイート「Advanced Email Security Suite」を展開する予定だ。プリンスによると、これらの初期のサーヴィスによってネットワーク上に流れる電子メールを取得し、脅威やパターンを大規模に調査できるようになるという。
また、Cloudflareのメールセキュリティ製品は、すべてグーグルやマイクロソフトなどのプロヴァイダーにとって重要なヘッダー情報をそのまま残すように慎重に設計されているという。これにより、これらのサーヴィスがすでに備えている重要なスパム対策や不正利用対策の機能が干渉を受けることはない。さらに、ブラウザー分離といったCloudflareの既存のサーヴィスでは、顧客が悪質なリンクをクリックしてしまった場合でも、新しいメールセキュリティ機能と連携して対応できるようにすることを目指している。
しかし、多くのCloudflare製品と同様に、これらの電子メールセキュリティ機能を有効にすることの副産物として、顧客は同社をすでに経由しているほかのすべてのウェブデータに加え、同社にメールのメッセージを託さなければならなくなる。このことによるプライヴァシーへの影響についてプリンスは、Cloudflareのアプローチについてよく語っていた言葉を繰り返す。
「わたしたちは顧客データを“有害な資産”であると考えています。わたしたちは広告を中心としたビジネスを展開しておらず、顧客データは販売していません。わたしたちは個人情報保護の認証を受け、システムの外部監査も受けています。それでもなお、わたしたちはお客さまの信頼を得られるようにしなければなりません」
ある意味、電子メールはCloudflareにとって、ウェブセキュリティにおける最後のフロンティアのひとつである。顧客が残りの個人データを共有してくれるかどうかは、企業の電子メールにつきまとう非常に現実的で厄介なリスクを、同社がいかに軽減できるかにかかっていると言えるだろう。
※『WIRED』によるセキュリティの関連記事はこちら。
TEXT BY LILY HAY NEWMAN