ビジネスサポートポータルアカウントでログイン
不正プログラムの侵入で利用されるメール添付ファイルの検出  

不正プログラムの侵入で利用されるメール添付ファイルの検出

    • 更新日:
    • 3 Aug 2018
    • 製品/バージョン:
    • Deep Discovery Email Inspector All.All
    • InterScan Messaging Security Suite All.All
    • InterScan Messaging Security Virtual Appliance All.All
    • Trend Micro Cloud App Security All.All
    • Trend Micro Hosted Email Security All.All
    • OS:
    • Linux すべて
    • Virtual Appliance すべて
    • Windows すべて
概要
不正プログラムの侵入に利用されるメールの添付ファイルを検出するために有効と考えられる対策を教えてください。
詳細
Public

背景

不正プログラムの侵入経路としてメールは多用されます。攻撃者は不正プログラムをメールの添付ファイルとして送信します。

侵入に利用される添付ファイルの多くは、実行ファイルやショートカットファイル、スクリプトファイルなどです。ファイルの名前やアイコンを偽装する事などで、受信者に通常のドキュメントファイルであると勘違いさせ、不正プログラムを受信者自らに実行させようとします。

メールゲートウェイでの対策
(InterScan Messaging Security Virtual Appliance / InterScan Message Security Suite / Trend Micro Hosted Email Security / Trend Micro Cloud App Security)

以下の添付ファイルフィルタを利用して、侵入に利用されうるファイルを検出する事が可能です。
※Trend Micro Cloud App Securityではファイルブロック機能で同様の対策が可能です。
 詳細はオンラインヘルプをご確認ください。

初期設定では圧縮ファイルの中のファイルに対しても有効です。ただし、圧縮ファイルにパスワードが設定されている場合は、検出できません。

以下の設定は、すべての不正なファイルを検出する事を保証するものではありません。また、条件に合致したファイルは正常なファイルであっても検出されます。

添付ファイルの実ファイルタイプフィルタ

添付ファイルの「実ファイルタイプ | 実際のファイルタイプ」フィルタを使用すると、メールの添付ファイル中の実行ファイルを検出することができます。ファイル名や拡張子が偽装されていても、実行ファイルを検出することができます。

添付ファイルの「名前または拡張子」フィルタ

ショートカットファイル(.LNK)やスクリプトファイル(.VBS, .JS)などは「実ファイルタイプ | 実際のファイルタイプ」フィルタでは設定できませんが、添付ファイルの「名前または拡張子」フィルタを使用して、拡張子を検出することができます。不正プログラムでは次のような拡張子がよく使用されるため、「検索するファイル拡張子 (推奨) | ブロックが推奨されるファイル拡張子」リストの中でも特に検出を有効にすることを推奨します。
  • .BAT
  • .CHM
  • .CMD
  • .COM
  • .DLL
  • .EXE
  • .HTA
  • .JS or .JSE
  • .LNK
  • .PIF
  • .OCX
  • .SCR
  • .SYS
  • .VBS
  • .VBE
次の拡張子は「検索するファイル拡張子 (推奨) | ブロックが推奨されるファイル拡張子」のリストには用意されていませんが、不正プログラムでよく利用されているため、「指定のファイル名 | 指定したファイル名」を使用して設定しておく事を推奨します。
  • .CPL
  • .JAR
  • .WSF

また、運用上すべての実行ファイル(.EXE)をフィルタすることができない場合は、「指定のファイル名 | 指定したファイル名」で不審なファイル名を検出させる事で、一定の効果が得られます。
不審なファイル名の例:
  • 「*    *.exe」: 複数のスペースを含むEXEファイル
  • 「*<RLO文字>*.exe」: ファイル名にRLO(Right to Left Override)文字を含むEXEファイル

<RLO文字>を入力するには

  1. メモ帳で「**.exe」と入力します。
  2. 二つの*の間にカーソルを合わせて右クリック→Unicode 制御文字の挿入→RLOを選択します。
  3. 入力した文字列(「*exe.*」と表示されます)をコピーし、添付ファイル名フィルタの「指定のファイル名」の設定画面にペーストします。

Deep Discovery Email Inspectorでの対策

Deep Discovery Email Inspectorでは、ファイル名やアイコンの偽装などのヒューリスティック解析とサンドボックス技術を併用し、解析結果を総合的に判断してメールに添付された不審なファイルを検出します。

また、パスワードが設定された圧縮ファイルを展開して解析する事が可能です。パスワードが別メールとして送られる場合でも対応可能です。

なお、ショートカットファイル(.LNK)やスクリプトファイル(.VBS, .JS)の全てをサンドボックスで解析するには、「Administration > Scanning/Analysis > Virtual Analyzer Settings」で、「File types to force analyze」にLNKやSCRIPTSを追加してください。

Deep Discovery Email Inspector 3.0以降での対策

バージョン3.0からコンテンツフィルタルール等が実装されました。添付ファイルの拡張子名等での対策が可能になりました。こちらより対策を設定ください。






Premium
Internal
評価:
カテゴリ:
操作方法/設定
Solution Id:
1105949
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド