サイバーセキュリティの分野では、脅威が進化し続けているため、高度な防御メカニズムが必要とされています。Securonix Threat Labs が報告した「meme4chan」インシデントでは、マクロの代わりにCVE-2022-30190 Follina 脆弱性を悪用して文書を武器化し、難読化された Power Shell スクリプトをドロップしました。
脅威が時代とともに進化しても、Deep CDR のテクノロジーは、マクロを使用しないオフィスファイル攻撃に対する強固な防御を提供します。このブログ記事では、その方法を説明します。
脅威を理解する
マイクロソフト社の製品は、マクロベースの攻撃を防ぐため、マクロをデフォルトでブロックするようになった。しかし、この動きは、攻撃者が悪意のある意図を実行するためにゼロデイ・エクスプロイトベースのテクニックに目を向けるという手口の変化をもたらし、このような偽装されたOfficeファイルは、発見されずにネットワークに侵入する重大なリスクとなっている。meme4chanの攻撃では、攻撃者はまず、悪意のあるOfficeファイルを添付したフィッシングメールを送信します。この脆弱性により、ファイル内に埋め込まれたオブジェクトが、悪意のあるペイロードを含むPowerShellコードを実行することが可能になる。これにより、最終的にマルウェアスキャナーが回避され、Microsoft Defenderが無効化され、最終的にXWormと呼ばれる悪意のあるワームが実行される。
OPSWAT Email Security ソリューションは、リスクに対処し、同様の攻撃を防ぐための主要な機能を提供します。
Deep CDR
Deep CDR が強力な対策となる。これは、既知の脅威であるか否かにかかわらず、ファイルを構成要素に分解し、埋め込みオブジェクト、スクリプト、マクロなどの潜在的に悪意のある要素を削除またはサニタイズすることにより、ファイル内の有害なアクティブオブジェクトを本質的にすべて「解除」するプロアクティブな予防技術です。これにより、文書内の悪意のあるコンテンツがアクティブになる前に無効化され、脅威が防止されます。
アクティブなコンテンツが削除されると、Deep CDR はファイルを元の形式に再構築し、セキュリティ状態を確保しながら使いやすさを維持します。すべてのファイルをサニタイズすることで、Deep CDR 、セキュリティを損なうことなくシームレスに業務を継続することができます。
MetaDefender Email Security ソリューションにDeep CDR を適用する利点
悪意のあるマクロレス・オフィス・ファイルに対するDeep CDR の有効性は、以下の点に起因する:
- プロアクティブな保護:既知の脅威シグネチャやパターンに依存するのではなく、Deep CDR 、すべてのアクティブコンテンツを無効化し、潜在的な脅威が被害をもたらす前に無力化します。
- ユーザビリティの維持:Deep CDR は、ファイルをサニタイズした後、その機能を完全に再構築するため、ビジネスの継続性が損なわれることはありません。
- 包括的なカバレッジ:Deep CDR は、悪意のあるペイロードのもう一つの一般的な配信方法であるパスワードで保護されたアーカイブを含む、幅広い種類のファイルをサニタイズします。
結論として、meme4chan のようなマクロレスのオフィスファイル攻撃の台頭は、高度でプロアクティブな電子メールセキュリティ対策の必要性を強調しています。Deep Content Disarm and Reconstruction (Deep CDR) は、OPSWAT のMetaDefender Email Security ソリューションに含まれる高度な脅威防御技術で、120 以上のファイルタイプや電子メールを悪意のあるアクティブコンテンツからサニタイズすることで、未知のエクスプロイトやゼロデイ・エクスプロイトを使用する攻撃者から組織を保護します。Deep CDR は、組織の電子メールセキュリティが、進化し続けるサイバー脅威の状況に対抗できるよう準備されていることを保証します。
