ZIPファイルをスキャンしてマルウェアの脅威を検出する方法

アンチウイルスソリューションと予備的なアンチウイルススキャンは、ファイル内のマルウェアの防御方法として長い間用いられてきました。このことを理解したうえでハッカーは、ZIPファイルやアーカイブなどの複雑な複合ファイルにウイルスやその他のマルウェアを隠すテクニックを開発しました。ZIPファイルは本質的に危険ではありませんが、フィッシング攻撃を実行したり、ランサムウェアを注入したり、その他の悪意のある行為を行ったりして、無防備な人にマルウェアを仕掛けるサイバー犯罪者に好まれる形式になっています。

この記事では、ZIPファイルが悪意のあるコードを隠す優れた手段となる理由を解説し、ウイルスやマルウェアの脅威をZIPファイルからスキャンする方法、既存の検知ベースのソリューションが遅れをとっている理由、Menlo File SecurityがZIPファイル内の回避型マルウェアを防御する方法の概要を説明します。

‍

ハッカーがZIPファイルを好む理由

ZIPファイルは、サイズを小さくするために「ジッパーで締められいる」または圧縮された状態です。.zipファイルを作成したら、アクセスする前に、ファイルの「ジッパーを開く」または解凍が必要です。

これらの圧縮ファイルやアーカイブファイルは、信頼性のある脅威検出に対して課題をもたらします。それは、アーカイブのレイヤー内に脅威が隠れているため、zipファイルをスキャンしても、感染したファイルや疑わしいファイルがその中に存在することが表示されない場合があるためです。ZIPファイルに隠されたウイルスやその他のマルウェアを検出するには、まずアーカイブされたファイルを解凍する必要があります。アンチウイルスソリューションの多くでは、ファイルを解凍しないため、悪意のあるZIPファイルは検出されずに通り過ぎます。

‍

なぜアンチウイルスソフトはZIPファイルに効果がないのですか？

アンチウイルスソフトウェアは、既知のマルウェアシグネチャのリポジトリを継続的にチェックし、疑わしいまたは悪意のあるファイルを特定して、それらが被害を引き起こす前に隔離または破壊します。一部のアンチウイルスソフトウェアはZIPファイルをスキャンできますが、すべてのアンチウイルス製品が同じように作られているわけではありません。

• 一部のアンチウイルスソフトウェアは、ZIPファイルを一時的に解凍し、コンテンツをスキャンできます。
• ほとんどのアンチウイルス製品は、ファイルが完全に抽出された後にのみファイルのコンテンツをスキャンできます。つまり、圧縮されたファイルは基本的に「スキャン不能」であり、アンチウイルス製品によって保護されません。

‍

既知のシグネチャに対してのみ保護

さらに、ファイルを解凍できるアンチウイルスソフトウェアであっても、保護できるのは既知の脅威に対してのみです。セキュリティチームは定期的にソフトウェアバージョンを更新する必要があり、ソフトウェアベンダーは最新のマルウェアシグネチャのライブラリを管理する必要があります。アンチウイルスが、、ZIPファイルを武器化できる未知の脅威やゼロデイ攻撃など、常に変化するリスク領域に追いつくのはほとんど不可能です。

‍

AI/ML＝大量の誤検知

最後に、アンチウイルスソフトウェアがより高度化し、AIや機械学習を使用して未知の、これまでに見たことのないマルウェアを識別しようとするにつれ、多くの誤検知が発生し、企業の生産性を阻害し、ユーザーの時間を無駄にすることがよくあります。セキュリティ運用にはすでに過大な負担がかかり、セキュリティチームは手薄になっています。業務を楽にするはずのアンチウイルスツールで不要な通知が増えることは望まれていません。

‍

ビジネス生産性の低下

組織がZIPファイルのブロックリストを使用すると、IT管理者は、予定されていたファイルが自動ブロックされてしまい、定期的に復元しなければならず、余分なオーバーヘッドがかかります。さらに、ブロックリストが作成されると、パートナーやお客様などの第三者からのファイルを待っているエンドユーザーは、IT部門によるブロック解除を待つことで、迅速な対処ができずに混乱が引き起こされます。

‍

今すぐZIPファイルをスキャン

ZIPファイルに隠れた脅威に対処するには、2つの方法があります。一つの方法は、これらの脅威に対してエンドポイントを強化するために手動で構成を変更することが必要ですが、もう一つの方法は、自動分析と高度なコンテンツの無害化と再構築（CDR）を使用して脅威を排除します。

‍

ウイルスを検出するためにZIPファイルをスキャンするためのレガシなヒント

ZIPファイルに潜む脅威を管理する1つの方法は、各エンドポイントをセキュアにし、ファイルやメールを自動的にスキャンするやり方です。以下は、ZIPファイルに隠れているウイルスやマルウェアを防御するために実行できる手順です。

1. WinZipの更新 – セキュリティ関連の重大な修正と機能強化が含まれているため、WinZipの最新バージョンを実行していることを確認します。
2. アンチウイルスプログラムの更新 – 最新の定義があることは、最新のシグネチャを常に最新状態にするために非常に重要です。毎日新しいマルウェアが発見され、最新のシグネチャには最新の発見が含まれていますが、ゼロデイ脅威を見逃す可能性があります。
3. アンチウイルスの設定 - すべてのファイルとメールをスキャンし、あらゆる感染したメッセージを隔離するようにプログラムを調整します。
4. 「隠しファイル名拡張子」を無効にする – これにより、Windowsが.EXE、.DOC、.ZIPなどの拡張子や認識する他のファイル形式を隠すのを防ぎます。たとえば、悪意のあるinvoice.jpg.zipはinvoice.jpgのように現れることがあり、開くと害を及ぼす可能性のあるZIPファイルであることを隠します。
5. パスワードの追加 - パスワードを適用してZIPファイルを保護することで、サイバー犯罪者による改ざんが困難になります。Windowsでは、ZIPファイルを右クリックし、[送信] を選択し、次に [フォルダを圧縮] を選択します。プロンプトに従ってフォルダを保存します。
6. 最も効果的な手順の確立 – 不明なソースからのメールに添付されたZIPファイルを開いたり、信頼できないWebサイトからZIPファイルをダウンロードしたりしないでください。もちろん、業務によってはそれが不可能だったり、作業がかなり遅くなる可能性もあります。

‍

このプロセスはウイルスから身を守るのに効果的ですが、時間がかかり、手作業も必要になります。複数のユーザーに保護を拡大するには最適な方法ではありません。現代の組織には、複数のユーザーに対応できるよう、迅速かつ効率的で、拡張できる能力を備えたより自動化されたアプローチが必要です。

‍

コンテンツの無害化と再構築技術を使用したファイルのサニタイズ

組織で現在ZIPファイルに隠れている脅威に対する十分な保護を受けていないからといって、自分自身もまた無防備なままでいなければならないということはありません。Menloは、上記のリストの厄介な4番目の「隠しファイル名拡張子」を無効にします。Menloでファイルをサニタイズする最初のステップは、ファイルをTrueType形式にすることです。隠された拡張機能と意図的に難読化されたファイルは、分析され、実際の拡張子に修正されます。

Menloは既存の環境とシームレスに統合されるAPIです。ユーザーがファイルをサニタイズする際に忘れてしまう可能性のある手順を踏むのではなく、ファイルが組織の境界を通過する際に自動的にサニタイズされ、マルウェアが除去されます。これにより、コンテンツは常に安全に使用、共有、編集、ダウンロード、アクセスできることが保証されます。

‍

MenloがZIPファイルへの脅威に対抗する方法

ネットワークに侵入する武器化されたZIPファイルを阻止する唯一の確実な方法は、ZIPファイルを含むファイルに対してゼロトラストアプローチを採用することです。Menloでは、すべてのファイル要素はファイルサニタイズプロセス（別名CDR）を通過します。ファイルは分解され、安全であることが確認された信頼できる部分のみから再構築され、あらゆる悪意のあるコンテンツは排除されます。新しいファイルは、元のファイルのすべての安全な機能で再構築されますが、隠されている脅威は取り除かれます。

悪意のあるZIPファイルやその他の脅威からネットワークをセキュアにするためのMenlo Security特許取得済みファイルサニタイズ技術の導入の詳細については、デモをご予約ください。

‍