背景
不正プログラムの侵入経路としてメールは多用されます。攻撃者は不正プログラムをメールの添付ファイルとして送信します。
侵入に利用される添付ファイルの多くは、実行ファイルやショートカットファイル、スクリプトファイルなどです。ファイルの名前やアイコンを偽装する事などで、受信者に通常のドキュメントファイルであると勘違いさせ、不正プログラムを受信者自らに実行させようとします。
メールゲートウェイでの対策
(InterScan Messaging Security Virtual Appliance / InterScan Message Security Suite / Trend Micro Email Security / Trend Micro Cloud App Security)
以下の添付ファイルフィルタを利用して、侵入に利用されうるファイルを検出する事が可能です。
※Trend Micro Cloud App Securityではファイルブロック機能で同様の対策が可能です。
詳細はオンラインヘルプをご確認ください。
初期設定では圧縮ファイルの中のファイルに対しても有効です。ただし、圧縮ファイルにパスワードが設定されている場合は、検出できません。
以下の設定は、すべての不正なファイルを検出する事を保証するものではありません。また、条件に合致したファイルは正常なファイルであっても検出されます。
添付ファイルの実ファイルタイプフィルタ
添付ファイルの「実ファイルタイプ | 実際のファイルタイプ」フィルタを使用すると、メールの添付ファイル中の実行ファイルを検出することができます。ファイル名や拡張子が偽装されていても、実行ファイルを検出することができます。
添付ファイルの「名前または拡張子」フィルタ
ショートカットファイル(.LNK)やスクリプトファイル(.VBS, .JS)などは「実ファイルタイプ | 実際のファイルタイプ」フィルタでは設定できませんが、添付ファイルの「名前または拡張子」フィルタを使用して、拡張子を検出することができます。不正プログラムでは次のような拡張子がよく使用されるため、「検索するファイル拡張子 (推奨) | ブロックが推奨されるファイル拡張子」リストの中でも特に検出を有効にすることを推奨します。
- .BAT
- .CHM
- .CMD
- .COM
- .DLL
- .EXE
- .HTA
- .JS or .JSE
- .LNK
- .PIF
- .OCX
- .SCR
- .SYS
- .VBS
- .VBE
次の拡張子は「検索するファイル拡張子 (推奨) | ブロックが推奨されるファイル拡張子」のリストには用意されていませんが、不正プログラムでよく利用されているため、「指定のファイル名 | 指定したファイル名」を使用して設定しておく事を推奨します。
- .CPL
- .JAR
- .WSF
また、運用上すべての実行ファイル(.EXE)をフィルタすることができない場合は、「指定のファイル名 | 指定したファイル名」で不審なファイル名を検出させる事で、一定の効果が得られます。
不審なファイル名の例:
- 「* *.exe」: 複数のスペースを含むEXEファイル
- 「*<RLO文字>*.exe」: ファイル名にRLO(Right to Left Override)文字を含むEXEファイル
<RLO文字>を入力するには
- メモ帳で「**.exe」と入力します。
- 二つの*の間にカーソルを合わせて右クリック→Unicode 制御文字の挿入→RLOを選択します。
- 入力した文字列(「*exe.*」と表示されます)をコピーし、添付ファイル名フィルタの「指定のファイル名」の設定画面にペーストします。
