概要
InterScan Messaging Security Virtual Appliance (以下、IMSVA) で、ZIPファイル内のファイルを、ファイル名や拡張子等を指定して検出するポリシーを作成することは可能ですか。
例)
"sample.zip" 内の "test.exe" を検出したい
※2016/3/25 追記: 最近、中小企業顧客中心に企業でもランサムウェア感染の報告が上がっています。
ランサムウェアを利用する攻撃として、Java Script ファイルをメールに添付する手法が増えています。
本設定は、上記のメールを IMSVA でブロックする際にもご利用いただけます。
ランサムウェアを利用する攻撃として、Java Script ファイルをメールに添付する手法が増えています。
本設定は、上記のメールを IMSVA でブロックする際にもご利用いただけます。
詳細
可能です。
■ 初期設定での動作
IMSVA では初期設定で、圧縮ファイル内のファイルも検索対象となります。
従って、ポリシールール内、「名前または拡張子」フィルタや、「実ファイルタイプ」フィルタを利用した場合、ZIPファイル内に、フィルタに設定した内容に該当するファイルが存在すれば検出します。
上記フィルタは、管理コンソールの下記の場所から設定可能です。
・「名前または拡張子」フィルタ
[ポリシー] - [ポリシーリスト] - <任意のポリシールール> - [検索条件] - [添付ファイル]セクションの「名前または拡張子」フィルタ
<指定方法>
- 「検索するファイル拡張子 (推奨) 」、「検索の検討が推奨されるファイルの拡張子」から任意の拡張子を選択
または
- 「指定のファイル名」で、特定のファイル名(例: test.exe) や、拡張子(例: *.exe) 等を指定
・「実ファイルタイプ」フィルタ
[ポリシー] - [ポリシーリスト] - <任意のポリシールール> - [検索条件] - [添付ファイル]セクションの「実ファイルタイプ」フィルタ
<指定方法>
- 任意のファイルタイプを指定
■ 圧縮ファイル内のファイルを検索対象としたくない場合
圧縮ファイル内のファイルを検索対象としたくない場合は、以下の手順を行ってください。
※以下の設定を行っても、圧縮ファイル内のウイルス検索は実施します。
ウイルス検索処理への影響はありません。(ポリシー内のウイルス対策ルールは動作します)
ウイルス検索処理への影響はありません。(ポリシー内のウイルス対策ルールは動作します)
1. IMSVAのシェルにログオンします。
(SSH接続で、 root ユーザでログオンし、シェル環境に入ります。)
2. /opt/trend/imss/config/imss.ini ファイルをテキストエデ)ィタで開きます。
2.[general] セクションに以下を追記します
--------------
MaxDeComposeDepth=0
AllowDecompressDepthZero=yes
--------------
[email-scan] セクションに以下を追記します。
--------------
IgnoreDecompressDepth=yes
--------------
3.ファイルを保存し、以下のコマンドで検索サービスを再起動します。
# /opt/trend/imss/script/S99IMSS restart
以上で操作は完了です。
