パスワードで保護された悪意のあるアーカイブファイル

パスワードで保護された悪意のあるアーカイブファイルとは?

悪意のあるコンテンツを検知できなくするために、攻撃者はパスワードで保護されたファイルやアーカイブを使用することがあります。この場合、ファイルの内容を分析するためのセキュリティソリューションがアーカイブ内部を確認することができないため、悪意のあるコンテンツを検知することができません。これらのファイルは、一般的に使用されている正規のファイルフォーマットに悪意のあるペイロードを隠しており、多くの場合、フィッシングメールや共有ドライブを介して配布されます。

パスワードで保護された悪意のあるファイルはどのように機能するのでしょうか?

パスワードで保護された悪意のあるアーカイブファイルは、ユーザーを騙し、従来型の検査エンジンを回避して、マルウェアやランサムウェアをユーザーのエンドポイントに配信するように設計されています。セキュリティの観点からは、すべてのファイルが検査されるべきですが、パスワードで保護されたファイルは検査することができません。本来であれば、そのようなファイルは途中で止めるべきですが、それを厳しく適用すると業務に悪影響を与えてしまいます。そのためほとんどの組織では、パスワードで保護されたファイルもエンドユーザーに配信するようにセキュリティポリシーを設定しており、攻撃者はそのこと知っています。それが、この攻撃のチャンスなのです。

組織に与える影響はどのようなものでしょうか?

正当なビジネス上の理由で使用されているパスワードで保護されたファイルやアーカイブは、デフォルトで阻止すべきではありません。しかし、いくつかの要因により、個人または組織がパスワードで保護された悪意のあるアーカイブファイルの影響を受けやすくなる可能性があります。それには次の場合が含まれます：

• コンテンツが悪意のあるものであるかどうかを判断するために、主にサンドボックス分析に依存している
• 信頼できないソース（Webまたはメール）から直接ファイルを開いている（接続しているWebサイト、または通信相手のメールユーザーを、必ず検証してください）
• セキュリティポリシーが緩く、特定のファイルタイプまたはアーカイブファイルに関して、すべてを許可するように設定されている

パスワードで保護された悪意のあるアーカイブファイルは、これらの手法を組み合わせて配信される可能性があり、その巧妙さは多様であることに注意しなければなりません。

悪意のあるパスワードで保護されたアーカイブファイルによる攻撃の被害者にならないようにするには、どうすれば良いですか?

パスワードで保護されたアーカイブファイルは、正当なビジネス目的でも日常的に使用されています。そのような状況で、パスワードで保護された悪意のあるアーカイブファイルの被害に遭うリスクを軽減するためには、ユーザーに信頼できるソースからのファイルのみを開くよう徹底し、パスワードで保護されたアーカイブファイルを開くように要求するメールやメッセージには注意させることが重要です。ファイルを要求した覚えがない場合、またはメッセージが疑わしい場合は、特に注意する必要があります。しかし、このようにベストプラクティスに頼ることの問題は、悪意のある添付ファイルを誤って開かないようにするために、ユーザーの誠意に依存することです。組織は、この種の攻撃からの保護を自動的に行えるよう、クラウドベースのブラウザーセキュリティソリューションの導入を検討する必要があります。このようなブラウザーセキュリティソリューションは、ユーザーのエンドポイントデバイスではなく、クラウド内の仮想ブラウザーでユーザーのWebブラウジングセッションを実行し、パスワードを使ってアーカイブのロックを解除します。そしてコンテンツがエンドポイントにダウンロードされる前に脅威をスキャンするため、脅威を確実に防止できます。

ブラウザー内のアクティビティをきめ細かく可視化して制御できるため、組織は攻撃対象を大幅に縮小し、パスワードで保護されたアーカイブファイルを表示する際に、悪意のあるコンテンツや高度に回避的な脅威からユーザーとそのエンドポイントを完全に保護することができます。