CDR技術による脅威対策

最近のセキュリティ対策を迂回するマルウェアの登場により、従来のセキュリティソリューションを補完できる新しいセキュリティ技術が求められています。

これに対応する新たな選択肢であるコンテンツ無害化と組み換えCDRContent Disarm and Reconstruction)」技術について説明します。

 

セキュリティ上の脅威動向とドキュメントベースのマルウェア攻撃

 

昨今、ランサムウェア、APT攻撃、マルウェア、ゼロデイ攻撃により企業は多くの脅威にさらされています。企業をターゲットとした攻撃の中でも、ドキュメントベースのマルウェア攻撃はとても一般的な攻撃方法です。PDFWordファイルなどほとんどの文書は悪意あるコードが隠されている可能性があり、世界中の企業のサイバーセキュリティにとって最大のリスクとなっています。

しかし、現在のセキュリティシステムがこれらの潜在的な脅威を監視したり、評価することができないため、多くの企業がこれらのサイバー攻撃の規模をよく理解しているにもかかわらず、脆弱な状態のままです。

この方法を使用して展開されるマルウェアは、目標のコンピュータにマルウェアに感染させるために一般的に古い脆弱性に依存しており、マルウェアはファイルが開かれるとすぐに自動的に実行されるか、サーバーからマルウェアをダウンロードします。マルウェアにはファイルを暗号化するランサムウェア、キーロガー、スパイウェア、ボットネットなどがありますが、最近は特にランサムウェアが継続的に増加しています。

 

コンテンツ無害化と組み換え技術

このようなタイプの攻撃に対してセキュリティを強化するための方法として、コンテンツ無害化と組み換え(CDR:Content Disarm and Reconstruction)技術があります。これは、ドキュメントベースのマルウェアによる被害を防ぐ最新の方法のひとつです。CDRは、人が使うファイルとして有用性を維持しながら、マクロ、JavaScript、組み込みオブジェクト、外部リンク、脆弱性攻撃やゼロデイ攻撃を排除するために考えられた一連の技術です。

CDR技術は、次のいずれかを実行します。

 

1.ファイルの内部構造を変更

2.コンテンツの削除

3.ファイルを別の形式に変換

 

 

1.ファイルの内部構造を変更

ソフトウェアの脆弱性を突くために、ドキュメントに含まれている悪意のあるコードはユーザーが認知できないようになっています。たとえば、PDF文書を開いたときには、JavaScriptがバックグラウンドで実行中であることを認識させないままコンピュータに感染させることができます。

ファイルの内部構造の変更ではファイルに含まれているスクリプトを変更します。たとえば、ドキュメントとして人に見える内容は変更せずに、マクロあるいはJavaScriptを無効にしたり、ファイル内の構成要素のメタデータとオブジェクトを無効にします。もう一つは、一般的にドキュメントファイルに含まれていないコンポーネントを探して、予想されるパラメータを超え、ファイルの一部を削除するなど、文書の構造を確認します。これらの方法により、スクリプトの内容およびその他の含まれている内容を正確に分析して安全かどうかを判断する時間を節約することができます。

 

2.コンテンツの削除

コンテンツの削除は、文書ファイル内のアクティブコンテンツを削除します。Microsoft Officeドキュメントのマクロ、PDF文書のJavaScriptおよび最近のEPSスクリプトの内容などがアクティブコンテンツに該当します。文書内には、マクロ、スクリプトとは別に、組み込みファイルを保存することができますが、これらの組み込みファイルは、マクロ、スクリプトを介して一緒に使用することができます。組み込みファイルには、フォント、画像、実行ファイルおよび他の形式の文書ファイルが含まれます。

コンテンツの削除は、文書ファイル内のコンテンツを物理的に削除したり、アクティブコンテンツを無効にするか、または意味のないデータに変更します。この方法でアクティブコンテンツを効果的に除去するには、ファイルの内部形式を正確に解釈する必要があり、また、ファイルが正常に表示されるため、一般的にファイルに接続されたソフトウェアの動作に影響が与えるので注意して削除する必要があります。

不適切コンテンツの削除は、文書の適切な形で表示できないことがありますので、すべてのタイプのファイルに有効な方法はありません。

 

3.ファイルを別の形式に変換

ファイルを別の形式に変換する方法です。たとえばMicrosoft Office文書をPDF文書に変換したり、PNG画像ファイルをJPGファイルに変換する方法です。

これらの変換方法の利点は、構造の変更やコンテンツの削除をしていなくても、アクティブコンテンツに起因する脅威を除去することができるということです。Microsoft Officeのドキュメント内のマクロが挿入された文書は、PDF文書に変換しながら、マクロの脅威が削除されるなどの効果を上げています。相互互換性のないアクティブコンテンツが削除されることで脅威の除去に利点があります。しかし、元のファイルの内部形式を正確に解釈する必要があり、変換されるファイルの内部形式も正確に理解して変換する必要があり、変換の過程で多くのコストが増加する欠点があります。

 

CDR技術は、Gartnerの推奨する添付ファイルタイプの攻撃の解決技術として脚光を浴びており、昨今仮想マシンを迂回するレベルまで進化した悪性コードへの対応策になることが期待されています。企業の場合、 CDR技術は既存のアンチウイルス、サンドボックスベースの分析システムなどのエンタープライズセキュリティ対策を補完するものになるでしょう。

 

CDR技術の紹介