ビジネスサポートポータルアカウントでログイン
Trend Micro Email Securityにおけるパスワード付きZIPファイルの解析について  

Trend Micro Email Securityにおけるパスワード付きZIPファイルの解析について

    • 更新日:
    • 18 Dec 2020
    • 製品/バージョン:
    • Trend Micro Email Security All
    • OS:
    • SaaS
概要
標的型攻撃メールの中には、以下のような手法で新種のマルウェアをメールの受信者に実行させるものがあるかと存じます。
Trend Micro Email Security(以下、TMEmS)は、このような攻撃によるマルウェアにも対応できますでしょうか。

 ・マルウェアをパスワード保護されたZIPに同梱し、メールに添付。
 ・解凍パスワードは、ZIPを添付したメールの本文に記載。または、別メールのメール本文で案内。
詳細
Public

概要

TMEmSの[受信保護設定] > [ウイルス検索] > [ウイルスポリシー]には、ファイルパスワード解析機能がございます。
ファイルパスワード解析機能を用いて以下の動作を実行できるため、パスワード保護されたZIPファイル内のマルウェアも、サンドボックス解析対象とすることができます。

 

  1. 新規に受信したメールに対し、その都度メールの本文またはSubjectからパスワードと判断される文字列を自動抽出します。抽出されたパスワードは、一定時間(デフォルト:5分)保持されます。
  2. パスワード保護されたアーカイブファイルが添付されたメールは、当該ファイルの解凍のためにキューイングされます。以降、タイムアウト時間(デフォルト:5分)に到達するまで、1.のパスワードも使用して解凍を定期的に試みます。
  3. パスワード解凍に成功すると、アーカイブ内のファイルに対して脅威解析が実施されます。
    必要に応じてファイルは仮想アナライザへ送信され、サンドボックス解析が行われます。

 

脅威が確認されたメールに対しては、ウイルスポリシーの設定に従って削除や隔離といった処理を適用できます。
[受信保護設定] > [ウイルス検索] > [ウイルスポリシー]を含めたTMEmSのポリシールール全般の詳細につきましては、以下のオンラインヘルプをご参照ください。

 ポリシーの設定
 

設定について

[受信保護設定] > [ウイルス検索] > [ウイルスポリシー]に対してファイルパスワード解析機能を使用する場合、[受信保護設定] > [ウイルス検索] > [ファイルパスワード解析]の以下の設定が有効であることをご確認ください。

 "ファイルパスワード解析を有効にする"

上述の【概要】の1.の処理を有効にする場合は、[受信保護設定] > [ウイルス検索] > [ファイルパスワード解析]の以下の設定が有効であることをご確認ください。

 "パスワード解析用にメッセージを保持して以降のメッセージを関連付ける"

無効である場合、パスワード抽出は「現在処理しているメール1通」からのみしか行われず、抽出されたパスワードの保持は行われません。
つまり、
「パスワード保護ファイルが添付されたメール内に、解凍パスワードも記載されている」
ケースにしか対応できません。

上述の【概要】の3.において、仮想アナライザによるサンドボックス解析を有効にする場合は、対象となる[受信保護設定] > [ウイルス検索] > [ウイルスポリシー]のウイルスポリシーの検索条件"仮想アナライザにファイルを送信する"を有効にしてください。
ウイルス検索条件や機械学習型検索条件と合わせて有効にすることで、パスワード保護されたアーカイブファイルに対し、既知/未知の脅威解析を行えます。

なお、TMEmSにおける「パスワード解凍をサポートするアーカイブファイルの種類」につきましては、以下のオンラインヘルプをご参照ください。

 ファイルパスワード解析

よくあるご質問

 

Q1.メールの本文またはSubjectから自動抽出されたパスワードは、最大でどのくらいの時間までTMEmSに保持されますか?

ファイルパスワード解析のタイムアウト時間(デフォルト:5分)まで保持されます。
管理画面の[受信保護設定] > [ウイルス検索] > [ファイルパスワード解析] > "解析のタイムアウト"から当該タイムアウト時間を変更できます。

Q2.パスワード解凍のためにキューイングされたメールは、最大でどのくらいの時間までTMEmSにキューイングされますか?

こちらも、ファイルパスワード解析のタイムアウト時間(デフォルト:5分)まで保持されます。
管理画面の[受信保護設定] > [ウイルス検索] > [ファイルパスワード解析] > "解析のタイムアウト"から当該タイムアウト時間を変更できます。

Q3.ファイルパスワード解析でパスワード解凍できなかった場合、そのメールはどうなりますか?

検索対象となるウイルスポリシーでパスワード解凍が出来なかった場合、当該ウイルスポリシーの処理はスキップされて、そのまま後続のポリシールールによる検索が実施されます。
そのため、例えば、[受信保護設定] > [コンテンツフィルタ]にて以下のようなポリシールールを設定した場合には、パスワード解凍に失敗したメールをTMEmS上に隔離することができます。

 検索条件: "添付ファイルが次の状態 - パスワードで保護されている"が有効
 処理: "インターセプト - 隔離"を選択

なお、TMEmSの受信メッセージに対するフィルタリング処理の適用順序の詳細につきましては、以下のオンラインヘルプをご参照ください。

 受信メッセージの保護

ポリシーの設定の詳細につきましては、以下のオンラインヘルプをご参照ください。

 ポリシーの設定

Premium
Internal
Partner
評価:
カテゴリ:
SPEC
Solution Id:
000283384
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド