マルウェアの感染は、多くの場合、ドキュメントから始まります
マルウェア感染の大部分は、 フィッシングメールから始まります。 これらのうち、かなりの部分が配信メカニズムとして悪意のあるドキュメントを使用しています。 2020年には、悪意のあるメールの添付ファイルやリンクの70%以上、悪意のあるWebダウンロードの約30%が、PDF、Microsoft Office Word、Excel、PowerPointなどのドキュメントを介して配信されました。
ただし、ドキュメントが武器化されることはあっても、完全に悪意のあるものであるとは限りません。 Microsoft OfficeドキュメントはZIPファイルとして構造化されており、さまざまなファイルを含むフォルダが含まれています。 つまり、Office ファイル内の悪意のあるスクリプトは、そこに含まれる複数のファイルのうちの 1 つにすぎません。
PDFは、さまざまな部分のコレクションから構築されているという点で似ています。 悪意のある PDF ファイルには、受信者に表示されるファイルを作成するために組み合わされた多数のオブジェクトが含まれています。 ただし、これらのオブジェクトの 1 つまたは数つだけに、ドキュメント内に隠された悪意のあるスクリプト コードが含まれています。
コンテンツの無害化と再構築の紹介
潜在的に悪意のある Microsoft Office ファイルや PDF ファイルを目的の受信者に転送することは、非常に危険です。 受信者がファイルを開き、マクロを有効にし、コンピューターを マルウェアに感染させる可能性は常にあります。 さらに、このアプローチは悪意のあるコンテンツの検出に依存しています。 一方、ファイルを完全に削除すると、受信者が武器化されたドキュメントに含まれていた重要な情報を見逃すリスクがあります。 コンテンツの無害化と再構築は、悪意のあるファイルを単にブロックする代わりに、安全な代替手段を提供します。
武器化された Microsoft Office ファイルや PDF ファイルでは、ドキュメントを構成するファイルやオブジェクトのごく一部だけが悪意のある可能性があります。 これらは、ドキュメント内に埋め込まれた実行可能なコンテンツです。 CDR では、これらの実行可能要素がドキュメントから切り取られ、残りの部分を使用してドキュメントが再構築されます。 多くの場合、Microsoft OfficeまたはPDFリーダーで使用されるファイルを再構築して、切り取ったコンテンツへの参照を削除するだけで済みます。
CDR の利点
チェック・ポイント のSandBlastの脅威抽出テクノロジー は、業界をリードするコンテンツ無害化および再構築(CDR)ソリューションを提供します。 SandBlast Threat Extraction は、組織のサイバーセキュリティと従業員の生産性に次のような多くのメリットをもたらします。
- 受信者への影響は最小限に抑えられます。 悪意のあるコンテンツは受信者から見えないように設計されているため、CDR はファイルによって伝達される実際の情報に影響を与えません。
- 安全な配達: ドキュメントから実行可能なコンテンツを削除することで、ファイルは受信者にとって安全になり、マルウェアの配信のリスクを冒すことなく受信者に送信できるようになります。
- ゼロデイ保護: CDR は、実行可能コンテンツが悪意のあるものとして検出されたかどうかに関係なく、実行可能コンテンツを削除します。 これにより、ゼロデイ脅威から保護することができます。
- 迅速な配達: CDRは、従来のサンドボックスに関連する遅延を排除し、クリーンされたファイルをユーザーに迅速に配信しながら、防止モードで のゼロデイ保護 のための実際の展開を可能にします。
- 元のファイルアクセス: 場合によっては、無害なファイルに対して実行可能コンテンツへのアクセスが必要になることがあります。 チェック・ポイント SandBlastでは、サンドボックス検査後に無害であることが確認された後、ユーザーが元のファイルにアクセスすることができます。
チェック・ポイント HarmonyはCDRセキュリティオプションを全面的に提供
フィッシングメールは、悪意のあるドキュメントやマルウェアを受信者に配信する最も一般的な方法として知られていますが、唯一の選択肢ではありません。 悪意のあるコンテンツは、企業のコラボレーションプラットフォーム(SlackやMicrosoft Teamsなど)、テキストメッセージ、ソーシャルメディアやその他のモバイルアプリ、悪意のあるWebサイトや侵害されたWebサイトからのダウンロードを介して配信される可能性があります。
このため、CDRを効果的に行うためには、これらの潜在的な感染経路をすべて保護するためにCDRを導入する必要があります。 チェック・ポイントのHarmonyテクノロジーは、Harmony Endpoint(エンドポイント セキュリティ)、Harmony Mobile(モバイル セキュリティ)、およびHarmony Browseを備えたすべてのプラットフォームで利用できます
チェック・ポイントのHarmonyテクノロジーを導入することで、組織は従業員の生産性への影響を最小限に抑えながら、最も一般的なマルウェア配信方法からユーザーを保護することができます。 潜在的に悪意のあるファイルの多段階配信(つまり、 実行可能コードを含むもの)により、従業員はファイルをすばやく受信できますが、実行可能コンテンツには、それが無害であることが確認された後にのみアクセスできます。
チェック・ポイントのHarmonyソリューションの詳細については、 こちらのビデオをご覧ください。 Harmonyテクノロジーが武器化されたドキュメントから組織を包括的に保護するのにどのように役立つかを確認するには、Harmony Endpointのデモと Harmony Mobileのデモ をリクエストしてください。
Feedback