ビュー:

まず、TMEmS/V1ECS では InterScan Messaging Security Suite (InterScan MSS) や InterScan Messaging Security Virtual Appliance (IMSVA) と同様、パスワード保護された圧縮ファイルや Office ファイル、PDF ファイルは暗号化されているため、原則、パスワード保護されたファイルやパスワード保護された圧縮ファイルにアーカイブされているファイルを検索できません。

しかし、TMEmS/V1ECS にはファイルパスワード解析機能が実装されており、ファイルパスワード解析によってパスワード保護されたファイルの復号に成功した場合には ウイルス検索 を実行できる可能性があります。

また、コンテンツフィルタのポリシールールにはパスワード保護されたファイルを検出する検出条件が用意されており、パスワード保護されたファイルが添付されているメッセージを検出できます。

ここではウイルス検索 (ウイルスポリシー) における ファイルパスワード解析 とコンテンツフィルタの検索条件「添付ファイルが次の状態 パスワードで保護されている」について説明します。

ウイルス検索におけるファイルパスワード解析

TMEmS では管理コンソールの 受信保護設定 > ウイルス検索 > ウイルスポリシー または 送信保護設定 > ウイルス検索 > ウイルスポリシー の画面に配置されているウイルス検索用のポリシールールにおいてメッセージに添付されているファイルに対してウイルス検索が実行されます。

近年、EMOTET などの標的型攻撃では攻撃者はウイルス検索をバイパスさせるため、マルウェアを圧縮したパスワード保護された ZIP ファイルをメッセージに添付して送信する場合があります。

冒頭で説明したとおり、パスワード保護された圧縮ファイルや Office ファイルは暗号化されており、通常、暗号化されたファイルからマルウェアを検出できません。

しかし、ファイルパスワード解析機能では、ユーザ指定のパスワードやメッセージに記載されているパスワードを使用してパスワード保護された ZIP ファイルや Office ファイルなどの暗号化されたファイルの復号を試み、復号に成功すると、ウイルスポリシーのポリシールールの検索条件にしたがってファイルに対してウイルス検索が実行されます。

したがって、ファイルパスワード解析機能が有効な場合、メッセージに添付されているパスワード保護された ZIP ファイルにマルウェアが圧縮されていたとしても、ファイルパスワード解析により暗号化されたファイルが復号され、受信保護設定 > ウイルス検索 > ウイルスポリシー のポリシールールの検索条件において 機械学習型検索 や 仮想アナライザへのファイル送信 が有効であれば、通常のウイルスパターンファイルによる検索では検出できない未知の脅威も検出できる可能性があります。

  • ファイルパスワード解析機能は受信保護のトラフィック (外部から内部宛) のみ対象となり、送信保護のトラフィック (内部から外部宛) は対象外です。

  • ファイルパスワード解析の対象となるパスワード保護されたファイルのファイルタイプはオンラインヘルプ(TMEmS / V1ECS) に記載されています。

  • ファイルパスワード解析ではメッセージの本文、件名、そして添付されているファイルのファイル名からパスワードの文字列を自動的に抽出し、ファイルの復号を試みます。

    パスワードの抽出方法や抽出可能なパスワードの文字種に関しては内部情報のため開示していませんが、メッセージの内容やパスワードの文字列によっては抽出できない場合があります。したがって、ファイルパスワード解析を有効化することで必ずパスワードで保護されたファイルを復号できるわけではありません。

  • ファイルパスワード解析はあくまでもウイルス検索を実行するためにファイルの復号を試みる機能です。ファイルパスワード解析の解析結果 (復号に成功したか失敗したか) に応じてメッセージを処理することはできません。例えばファイルパスワード解析により復号に失敗した場合にはメッセージを隔離し、復号に成功した場合のみメッセージを配送する、といった設定は行えません。

    なお、ファイルパスワード解析の解析結果に関係なく、パスワード保護されたファイルが添付されている場合にメッセージを隔離したり、スタンプを挿入したりするのであれば、検索条件「添付ファイルが次の状態 パスワードで保護されている」を選択したコンテンツフィルタのポリシールールを利用してください。

  • 脅威のあるメッセージに対してファイルパスワード解析で復号できずウイルス検索で検出されなかったとしても、受信保護設定 > スパムメールフィルタ > スパムメールポリシー受信保護設定 > コンテンツフィルタ のポリシールールで検出される可能性があります。

ファイルパスワード解析の有効化

ファイルパスワード解析を有効化するには、管理コンソールの 受信保護設定 > ウイルス検索 > ファイルパスワード解析ファイルパスワード解析設定 のセクションで「ファイルパスワード解析を有効にする」にチェックを入れ、[保存] ボタンで設定を保存します。

また、必要に応じて ユーザ指定パスワード のセクションで [追加] ボタンから暗号化ファイルのパスワードを登録します。

ファイルパスワード解析が有効な場合、メッセージにパスワード保護されたファイルが添付されていると、まずファイルが添付されたメッセージからパスワードと推測される文字列を抽出し、ファイルの復号を試みます。

メッセージからパスワードが抽出されない、あるいは抽出されたパスワードではファイルを復号できなかった場合には「ユーザ指定パスワード」に登録されているパスワードでファイルの復号を試みます。

パスワード保護されたファイルを添付したメッセージにパスワードが記載されていれば前述の設定のみで十分効果的ですが、パスワード保護されたファイルを添付したメッセージとは別にパスワードを記載したメッセージが送信される場合があります。以下の セクション では、パスワードが記載されたメッセージが別に送信された場合に効果的なオプション「パスワード解析用にメッセージを保持して以降のメッセージを関連付ける」について説明します。

別のメッセージでパスワードが送られる場合

ファイルパスワード解析設定 のセクションにあるオプション「パスワード解析用にメッセージを保持して以降のメッセージを関連付ける」を有効化すると、ファイルが添付されたメッセージの前後に"同じエンベロープ送信者アドレスから送信された、パスワードの記載された別のメッセージ"が送信されていれば、そのメッセージからパスワードが抽出され、ファイルを復号できる可能性があります。

まず、「パスワード解析用にメッセージを保持して以降のメッセージを関連付ける」のオプションを有効化するには、同オプションにチェックを入れた上で「解析のタイムアウト」にタイムアウト値を設定し、[保存] ボタンをクリックして設定を保存します。

「解析のタイムアウト」のタイムアウト値には 1分 から 60分 の範囲で任意に設定できますが、初期設定では 5分 が設定されています。

TMEmS/V1ECS はパスワード保護されたファイルが添付されたメッセージを受信し、そのメッセージから抽出されたパスワードおよび「ユーザ指定パスワード」で復号できなかった場合には、最長「解析のタイムアウト」に指定された時間までそのメッセージを保留してファイルの復号を試みます。

「解析のタイムアウト」に指定された時間までにパスワードを記載した別のメッセージを受信すれば、そのメッセージから抽出されたパスワードを使用してパスワード保護されたファイルを復号します。

「解析のタイムアウト」に指定された時間までにパスワードを記載した別のメッセージが送信されなかった、あるいはそれまでに別のメッセージが送信されていたとしてもパスワードが抽出されなかったことが要因でファイルの復号に失敗した場合、パスワード保護されたファイルが添付されたメッセージは「解析のタイムアウト」に指定された時間まで必ず保留されることになります。

そのため、例えば「解析のタイムアウト」の設定値が 5分 の場合、パスワード保護されたファイルが添付されていればメッセージは 5分 遅延して届く可能性があります。この点を考慮して同オプションを有効化してください。

「パスワード解析用にメッセージを保持して以降のメッセージを関連付ける」のオプションが有効化されると、TMEmS/V1ECS は受信するメッセージからパスワードと推測される文字列をリアルタイムに抽出し、一定期間キャッシュして保持します。

したがって、もしパスワードを記載した別のメッセージがパスワード保護されたファイルを添付したメッセージより 前に 送信されていたとしても、そのメッセージを受信したタイミングでパスワードはキャッシュされているため、パスワード保護されたファイルを添付したメッセージを受信したタイミングでファイルは復号されます。

メール追跡ログ

管理コンソールの ログ > メール追跡 の画面ではファイルパスワード解析による解析結果 (復号の可否) に応じてメッセージを検索できます。

また、メール追跡の詳細画面では添付ファイルごとにパスワード保護されているかどうか、パスワード保護されている場合には復号の可否を確認できます。

検索方法

まず、メール追跡の画面において「さらにオプションを表示」をクリックし、「添付ファイルのあるメッセージのみ」にチェックを入れると、「添付ファイルのパスワード解析」のフィールドが表示されます。

同フィールドに「すべて」を選択して検索すると、ファイルが添付されたメッセージすべてが検索にヒットします。

同フィールドに「解析されていません」を選択して検索すると、ファイルが添付されたメッセージのなかで以下がヒットします。

  • ファイルパスワード解析が無効な場合、ファイルが添付されたメッセージすべて
  • ファイルパスワード解析が有効な場合、パスワード保護されていないファイルが添付されたメッセージ、およびパスワード保護されていたとしてもファイルパスワード解析が対応していないファイルが添付されたメッセージ

同フィールドに「解析済み」を選択して検索すると、ファイルパスワード解析が有効な場合、パスワード保護されておりファイルの復号が試みられたファイルが添付されたメッセージがヒットします。

同フィールドに「復号済み」を選択して検索すると、ファイルパスワード解析が有効な場合、パスワード保護されておりファイルの復号に成功したファイルが添付されたメッセージがヒットします。

同フィールドに「復号なし」を選択して検索すると、ファイルパスワード解析が有効な場合、パスワード保護されておりファイルの復号に失敗したファイルが添付されたメッセージがヒットします。

詳細ログ

メール追跡の画面で検索されたログの日時をクリックすると、詳細画面 が表示されます。

ファイルパスワード解析が有効な場合、メッセージに添付されているパスワード保護されたファイルに対してファイルパスワード解析が完了すると、処理 のセクションにある 評価済みポリシー に「パスワード解析済み (所要時間: 4分 59秒)」のように表示されます。

また、メッセージにファイルが添付されている場合、添付ファイル のセクションに添付されているファイルのファイル名が表示されます。

ファイルパスワード解析が有効な場合、パスワード保護パスワード解析 のフィールドが用意され、各フィールドにはパスワード保護されたファイルかどうか、ファイルパスワード解析により復号されたかどうか表示されます。

例えば以下のようなファイルが用意されているとします。

  • File A (パスワード保護されていない、あるいはパスワード保護されているが、ファイルパスワード解析がサポートしていないファイルである)
  • File B (パスワード保護されているが、ファイルパスワード解析による復号に失敗したファイル)
  • File C (パスワード保護されており、ファイルパスワード解析による復号に成功したファイル)

File A と File B が添付されたメッセージを受信した場合、添付ファイルのセクションには次のように表示されます。

ファイル名SHA256ハッシュ添付ファイルのステータスパスワード保護パスワード解析
File A...処理なしいいえ該当なし
File B...処理なしはい復号なし

File A はそもそもパスワード保護されていない、あるいはファイルパスワード解析がサポートしていないため、パスワード保護 には「いいえ」、パスワード解析 には「該当なし」と表示されます。一方、File B はパスワード保護されていますが、ファイルパスワード解析によるファイルの復号に失敗しているため、パスワード保護 には「はい」、パスワード解析 には「復号なし」と表示されます。

File C のみが添付されたメッセージを受信した場合、添付ファイルのセクションには以下のように表示されます。

ファイル名SHA256ハッシュ添付ファイルのステータスパスワード保護パスワード解析
File C...処理なしはい復号済み

File C はパスワード保護されており、また、ファイルパスワード解析によるファイルの復号にも成功しているため、パスワード保護 には「はい」、パスワード解析 には「復号済み」と表示されます。

File A のみが添付されたメッセージを受信した場合、File A はパスワード保護されていない、あるいはファイルパスワード解析がサポートしておらず、メッセージに対してファイルパスワード解析が実行されていないため、ファイルパスワード解析が無効化されている場合と同様、パスワード保護パスワード解析 のフィールド自体が表示されません。

コンテンツフィルタの検索

まず、管理コンソールの 受信保護設定 > コンテンツフィルタ または 送信保護設定 > コンテンツフィルタ の画面では以下の検索条件を選択したポリシールールを作成できます。メッセージに ZIP などの圧縮ファイルが添付されている場合、圧縮ファイルにアーカイブされているファイルも下記検索条件の検索対象となります。

  • 添付ファイルが次の状態 ファイル名または拡張子
  • 添付ファイルが次の状態 実際のファイルタイプ
  • 添付ファイルの内容が次のキーワードに一致する キーワード

しかし、メッセージに添付されている圧縮ファイルがパスワード保護されている場合、上記検索条件では検索できません。

例えば「添付ファイルが次の状態 ファイル名または拡張子」の検索条件で「.EXE」の実行ファイルを検出するよう設定されていたとします。hello.exe というファイルが直接メッセージに添付されている場合、同検出条件によってメッセージは検出されます。また、hello.exe が ZIP で圧縮している場合、その ZIP ファイルがパスワードで保護されていなければ同検出条件によってメッセージは検出されます。しかし、hello.exe を圧縮した ZIP ファイルがパスワード保護されている場合、同検出条件では検出できません。

ファイルパスワード解析 はあくまでもウイルス検索のポリシールールを実行する際にファイルの復号を試みる機能です。

ファイルパスワード解析を有効化したとしても、パスワード保護された圧縮ファイルにアーカイブされているファイルをコンテンツフィルタの上記検索条件で検出することはできません。

一方、コンテンツフィルタのポリシールールには「添付ファイルが次の状態 パスワードで保護されている」の検索条件が用意されており、パスワード保護されたファイルが添付されたメッセージを検出できます。以下の セクション では「添付ファイルが次の状態 パスワードで保護されている」の検索条件について説明します。

パスワード保護されたファイルの検出

管理コンソールの 受信保護設定 > コンテンツフィルタ または 送信保護設定 > コンテンツフィルタ のポリシールールには、パスワード保護されたファイルが添付されている場合にメッセージを検出する検索条件「添付ファイルが次の状態 パスワードで保護されている」を選択できるようになっており、同検索条件を選択したポリシールールを新規に作成することでパスワード保護されたファイルが添付されたメッセージを検出できます。

また、受信保護設定 > コンテンツフィルタ には初期設定で同検索条件が事前に選択されたポリシールール "Password protected" が用意されており、初期設定ではそのポリシールールで検出されると、 管理 > ポリシーオブジェクト > スタンプ の画面にある "Unscanned attachment" のスタンプ設定にしたがってメッセージ本文にスタンプを挿入し、メッセージを配送します。

例えばパスワード保護されたファイルが添付されている場合にメッセージを隔離するのであれば、受信保護設定 > コンテンツフィルタ に初期設定で用意されているポリシールール "Password protected" の処理設定を「隔離」のみに変更します。

あるいは、パスワード保護されたファイルが添付されている場合にその添付ファイルを削除してスタンプを挿入した上でメッセージを配送するのであれば、管理 > ポリシーオブジェクト > スタンプ の画面で新規にスタンプ設定を用意した上で同ポリシールールの処理設定で「本文にスタンプを挿入」に指定しているスタンプ設定を変更し、「一致する添付ファイルを削除」にチェックを入れて設定を保存します。

  • 「添付ファイルが次の状態 パスワードで保護されている」の検索条件で検出可能なパスワード保護されたファイルのファイルタイプはオンラインヘルプ(TMEmS / V1ECS) に記載されています。

  • ポリシールールの検索条件の設定において条件に「すべてを満たす」を選択し、他の検索条件と「添付ファイルが次の状態 パスワードで保護されている」の検索条件を組み合わせて AND 条件で検索条件を設定することはできません。

    そのため、パスワード保護された ZIP ファイルのみ検出することはできません。また、パスワード保護された Office ファイルや PDF ファイルを検出から除外することはできません。

なお、「添付ファイルが次の状態 パスワードで保護されている」の検索条件によって検出された場合、管理コンソールの ログ > ポリシーイベント の画面で検索すると、検出理由 として 脅威の種類 には「検索除外」、サブタイプ には「パスワード保護された添付ファイル」、そして 違反したファイル の項目にはパスワード保護されたファイルのファイル名が表示されます。

キーワード: Trend Micro Email Security TMEmS