ビジネスサポートポータルアカウントでログイン
不正プログラムの侵入で利用されるメール添付ファイルの検出  

不正プログラムの侵入で利用されるメール添付ファイルの検出

    • 更新日:
    • 28 Aug 2023
    • 製品/バージョン:
    • InterScan Messaging Security Suite
    • InterScan Messaging Security Suite All.All
    • InterScan Messaging Security Virtual Appliance
    • InterScan Messaging Security Virtual Appliance All.All
    • Trend Micro Cloud App Security
    • Trend Micro Cloud App Security All.All
    • Trend Micro Email Security
    • Trend Micro Hosted Email Security All.All
    • OS:
    • Virtual Appliance
    • Linux
    • SaaS
概要
不正プログラムの侵入に利用されるメールの添付ファイルを検出するために有効と考えられる対策を教えてください。
詳細
Public

背景

不正プログラムの侵入経路としてメールは多用されます。攻撃者は不正プログラムをメールの添付ファイルとして送信します。

侵入に利用される添付ファイルの多くは、実行ファイルやショートカットファイル、スクリプトファイルなどです。ファイルの名前やアイコンを偽装する事などで、受信者に通常のドキュメントファイルであると勘違いさせ、不正プログラムを受信者自らに実行させようとします。

メールゲートウェイでの対策

(InterScan Messaging Security Virtual Appliance / InterScan Message Security Suite / Trend Micro Email Security / Trend Micro Cloud App Security)

以下の添付ファイルフィルタを利用して、侵入に利用されうるファイルを検出する事が可能です。

※Trend Micro Cloud App Securityではファイルブロック機能で同様の対策が可能です。

 詳細はオンラインヘルプをご確認ください。

初期設定では圧縮ファイルの中のファイルに対しても有効です。ただし、圧縮ファイルにパスワードが設定されている場合は、検出できません。

以下の設定は、すべての不正なファイルを検出する事を保証するものではありません。また、条件に合致したファイルは正常なファイルであっても検出されます。

添付ファイルの実ファイルタイプフィルタ

添付ファイルの「実ファイルタイプ | 実際のファイルタイプ」フィルタを使用すると、メールの添付ファイル中の実行ファイルを検出することができます。ファイル名や拡張子が偽装されていても、実行ファイルを検出することができます。

添付ファイルの「名前または拡張子」フィルタ

ショートカットファイル(.LNK)やスクリプトファイル(.VBS, .JS)などは「実ファイルタイプ | 実際のファイルタイプ」フィルタでは設定できませんが、添付ファイルの「名前または拡張子」フィルタを使用して、拡張子を検出することができます。不正プログラムでは次のような拡張子がよく使用されるため、「検索するファイル拡張子 (推奨) | ブロックが推奨されるファイル拡張子」リストの中でも特に検出を有効にすることを推奨します。

  • .BAT
  • .CHM
  • .CMD
  • .COM
  • .DLL
  • .EXE
  • .HTA
  • .JS or .JSE
  • .LNK
  • .PIF
  • .OCX
  • .SCR
  • .SYS
  • .VBS
  • .VBE

次の拡張子は「検索するファイル拡張子 (推奨) | ブロックが推奨されるファイル拡張子」のリストには用意されていませんが、不正プログラムでよく利用されているため、「指定のファイル名 | 指定したファイル名」を使用して設定しておく事を推奨します。

  • .CPL
  • .JAR
  • .WSF

また、運用上すべての実行ファイル(.EXE)をフィルタすることができない場合は、「指定のファイル名 | 指定したファイル名」で不審なファイル名を検出させる事で、一定の効果が得られます。

不審なファイル名の例:

  • 「*    *.exe」: 複数のスペースを含むEXEファイル
  • 「*<RLO文字>*.exe」: ファイル名にRLO(Right to Left Override)文字を含むEXEファイル

<RLO文字>を入力するには

  1. メモ帳で「**.exe」と入力します。
  2. 二つの*の間にカーソルを合わせて右クリック→Unicode 制御文字の挿入→RLOを選択します。
  3. 入力した文字列(「*exe.*」と表示されます)をコピーし、添付ファイル名フィルタの「指定のファイル名」の設定画面にペーストします。

 

 

Premium
Internal
Partner
評価:
カテゴリ:
Configure; SPEC; 操作方法/設定
Solution Id:
1105949
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド