コンテンツの無害化および再構築 (CDR) とは何ですか?

マルウェアの感染は、多くの場合、ドキュメントから始まります

マルウェア感染の大部分は、 フィッシングメールから始まります。 これらのうち、かなりの部分が配信メカニズムとして悪意のあるドキュメントを使用しています。 2020年には、悪意のあるメールの添付ファイルやリンクの70%以上、悪意のあるWebダウンロードの約30%が、PDF、Microsoft Office Word、Excel、PowerPointなどのドキュメントを介して配信されました。

ただし、ドキュメントが武器化されることはあっても、完全に悪意のあるものであるとは限りません。 Microsoft OfficeドキュメントはZIPファイルとして構造化されており、さまざまなファイルを含むフォルダが含まれています。 つまり、Office ファイル内の悪意のあるスクリプトは、そこに含まれる複数のファイルのうちの 1 つにすぎません。

PDFは、さまざまな部分のコレクションから構築されているという点で似ています。 悪意のある PDF ファイルには、受信者に表示されるファイルを作成するために組み合わされた多数のオブジェクトが含まれています。 ただし、これらのオブジェクトの 1 つまたは数つだけに、ドキュメント内に隠された悪意のあるスクリプト コードが含まれています。

コンテンツの無害化と再構築の紹介

潜在的に悪意のある Microsoft Office ファイルや PDF ファイルを目的の受信者に転送することは、非常に危険です。 受信者がファイルを開き、マクロを有効にし、コンピューターを マルウェアに感染させる可能性は常にあります。 さらに、このアプローチは悪意のあるコンテンツの検出に依存しています。 一方、ファイルを完全に削除すると、受信者が武器化されたドキュメントに含まれていた重要な情報を見逃すリスクがあります。 コンテンツの無害化と再構築は、悪意のあるファイルを単にブロックする代わりに、安全な代替手段を提供します。

武器化された Microsoft Office ファイルや PDF ファイルでは、ドキュメントを構成するファイルやオブジェクトのごく一部だけが悪意のある可能性があります。 これらは、ドキュメント内に埋め込まれた実行可能なコンテンツです。 CDR では、これらの実行可能要素がドキュメントから切り取られ、残りの部分を使用してドキュメントが再構築されます。 多くの場合、Microsoft OfficeまたはPDFリーダーで使用されるファイルを再構築して、切り取ったコンテンツへの参照を削除するだけで済みます。

CDR の利点

チェック・ポイント のSandBlastの脅威抽出テクノロジー は、業界をリードするコンテンツ無害化および再構築(CDR)ソリューションを提供します。 SandBlast Threat Extraction は、組織のサイバーセキュリティと従業員の生産性に次のような多くのメリットをもたらします。

• 受信者への影響は最小限に抑えられます。 悪意のあるコンテンツは受信者から見えないように設計されているため、CDR はファイルによって伝達される実際の情報に影響を与えません。
• 安全な配達: ドキュメントから実行可能なコンテンツを削除することで、ファイルは受信者にとって安全になり、マルウェアの配信のリスクを冒すことなく受信者に送信できるようになります。
• ゼロデイ保護: CDR は、実行可能コンテンツが悪意のあるものとして検出されたかどうかに関係なく、実行可能コンテンツを削除します。 これにより、ゼロデイ脅威から保護することができます。
• 迅速な配達: CDRは、従来のサンドボックスに関連する遅延を排除し、クリーンされたファイルをユーザーに迅速に配信しながら、防止モードで のゼロデイ保護 のための実際の展開を可能にします。
• 元のファイルアクセス: 場合によっては、無害なファイルに対して実行可能コンテンツへのアクセスが必要になることがあります。 チェック・ポイント SandBlastでは、サンドボックス検査後に無害であることが確認された後、ユーザーが元のファイルにアクセスすることができます。

Check Point Workspace Security Offers CDR Security Options Across the Board

フィッシングメールは、悪意のあるドキュメントやマルウェアを受信者に配信する最も一般的な方法として知られていますが、唯一の選択肢ではありません。 悪意のあるコンテンツは、企業のコラボレーションプラットフォーム(SlackやMicrosoft Teamsなど)、テキストメッセージ、ソーシャルメディアやその他のモバイルアプリ、悪意のあるWebサイトや侵害されたWebサイトからのダウンロードを介して配信される可能性があります。

For this reason, CDR must be deployed to protect all of these potential infection vectors in order to be effective. Check Point’s Workspace Security technology is available for all platforms with Check Point Endpoint Security (endpoint security), Check Point Mobile Security (mobile security), and Check Point Browser Security

By deploying Check Point’s Workspace Security technology, an organization can protect its users against the most common method of malware delivery while minimizing impacts on employee productivity. The multi-stage delivery of potentially malicious files (i.e. ones containing executable code) ensures that employees can receive files quickly but only access executable content once it has been verified to be benign.

To learn more about Check Point’s Workspace Security solutions, check out this video. To see how Workspace Security technology can help to provide comprehensive protection to your organization against weaponized documents, request a demo for Check Point Endpoint Security and a Demo for Check Point Mobile Security.