悪意の添付ファイルによる攻撃を阻止!

悪意の添付ファイルによる攻撃を阻止!

メールに添付されたマルウェア対策


 企業ネットワーク内部への侵入事例のうち2/3が悪意の添付ファイルによるもの
 99%のマルウェアがポリモーフィック(多態型)機能を有している

仕事をする以上、添付ファイルを開かざるをえない


ユーザは、自分の仕事 ― 発注書や請求書の処理、出荷通知の受領や財務諸表の共有、さらに取引先の担当者と調整して契約書を作成する等 ― のために日々メールに添付されているファイルを受け取り、疑いなく開いてしまう事が多々あります。サイバー犯罪者はこのことをよく認識しており、そこにつけこみます。

昨今のランサムウェアはMicrosoft OfficeやPDFの文書ファイルを媒体とした添付ファイルとして送信されます。サイバー犯罪者がこの手口を使うのは、ランサムウェア関連の損害は2017 年に概算で50 億ドルを超えた(*1)とされている通り、彼らにとって効果が高いからです。本来、安心して使えるアプリケーション ― 多くは明らかにホワイトリストに載っているMicrosoft Office Suite などを含む ― さえ攻撃を受け、何層もの防御をかいくぐり、社内ネットワークへの足掛かりをわずか1台のPCへの侵害を起点に与えてしまう可能性があります。

期待できそうなマルウェア検出の広告やメールゲートウェイ技術の進歩、さらにユーザの意識向上のための研修も増えているにも関わらず、依然として悪意のある添付ファイルはこれらの対策をすり抜けており、そのために重要データが侵害や損失に遭い、破壊にまで至ることもあります。

現在のメールを介する高度なマルウェアは、検出技術に基づく従来の防御策より、一枚も二枚も上手であると言えます。実際にさまざまなデータがこの事を示しています。

  • いまや99%のマルウェアが自身を変化させるポリモーフィック機能を持っている(*2)
  • 発見されている悪意のあるファイルの97% が1度しか出現しておらず、毎回形態を変えている(*3)
  • サイバー攻撃に関するコストは2017年に前年比23%増加している(*4)

メール経由で侵入するマルウェアは「費用対効果が高い」ため、常に進化し続ける


それでは昨今のサイバー犯罪者は、どのような行動をしているのでしょうか。

ランサムウェア
ランサムウェア

犠牲者のPCに保存されたデータを対称鍵で暗号化し、犠牲者が「身代金」を支払わなければPCを初期化せざるをえない状況になると脅すのが一般的な手口で、通常は悪意のある文書ファイルを介して持ち込まれます。

マクロ型トロイの木馬
マクロ型トロイの木馬

攻撃用のバイナリファイルをPCにダウンロードさせ、その後リモートコマンドと制御サーバ間での通信で指示を受け、後続する悪意のコードをダウンロードさせます。

ファイルレスマルウェア
ファイルレスマルウェア

PowerShell等のPC環境に元々あるツールを悪用することで、新たにファイルを持ち込むことなしに攻撃のコマンドを実行します。

悪意のあるリンク
悪意のあるリンク

ファイルとしてメールに添付されるものと比較して、悪意のあるリンクは何層もある防御を簡単にすり抜けることができ、結果として、ユーザの意思に反したダウンロードやブラウザへの侵入が起きます。

Bromiumは悪意の添付ファイルによる攻撃を阻止!

マルウェアが含まれていたとしても、Microsoft OutlookやWebメールへの添付ファイルを安全に開けます。
添付ファイルの扱いなど、制約の多いセキュリティ上のルールからユーザを解放します。
添付ファイルを自由に開けるようにすることで、ユーザの生産性を向上させます。

「アプリケーション隔離」でメール添付に隠れたマルウェアを封じ込める


Bromiumは仮想化ベースのセキュリティ技術を採用することにより、Microsoft Office文書やPDFのような形式の添付ファイルをPC本体から隔離されたMicroVM内で開きます。マルウェアは動作を開始し意図通りの処理を実行しますが、PC本体や社内ネットワークには決してアクセスする事はできません。マルウェアはMicroVM内に隔離され、ユーザが添付ファイルを閉じるときにはMicroVMごと破棄されてしまいます。

添付ファイルを安心して開けるようになることで、多くの企業でユーザの業務効率の向上に加え、従来はマルウェアを開いてしまうと「恥ずべき事」「犯人扱い」といったネガティブな捉え方をされていましたが、今では「マルウェアを捉えた事を得意げに連絡するようになりました」といった事例もあります。

 添付ファイルの隔離

添付ファイルの隔離

Bromiumは全ての添付ファイルをMicroVM内で開くことでPCと隔離します。マルウェアが侵入しても本体のOSにはアクセスされないため、社内ネットワークには危険が及びません。

 セキュリティの省力化と費用削減

セキュリティの省力化と費用削減

Bromiumのアラートの正確さにより対応優先度決定の時間を劇的に短縮し、誤検知による工数の無駄をなくします。PCの初期化や再設定、緊急パッチ対策なども減少します。

 リアルタイムで脅威の情報を共有

リアルタイムで脅威の情報を共有

高度な振る舞い分析を併用し、不審な動作を特定し、リアルタイムで起きている攻撃のデータをネットワーク全体に共有しつつ、セキュリティ部門に有用な分析情報を提供します。

 継続的な保護を実現

継続的な保護を実現

Bromiumは仮想化ベースのセキュリティ技術を用いてハードウェア強制型のアプリケーション分離を実現しています。これにより最先端レベルの進化した検出ツールであっても容易にすり抜ける、未知の脅威やポリモーフィック(多態型)マルウェアであっても防御が可能です。

[ PCの安全を100%守る ]… 2013年以降、Bromiumは推計20億以上のMicroVMが実行されましたが、侵害報告件数はゼロです。(米国Bromium社調べ