データダイオードを介したログ、アラート、およびテレメトリの送信

詳細はこちら
サイト翻訳には人工知能を利用しており、正確性を追求しておりますが、必ずしも100%正確とは限りません。ご了承ください。

Deep CDR™ テクノロジーと Metascan™Multiscanning 、PCI DSS のセキュリティ要件にどのようにMultiscanning

著者: OPSWAT
この記事を共有する

ある決済処理業者のセキュリティチームが、あるPDF添付ファイルを審査対象としてフラグを立てた。そのファイルは既知のベンダーから送られてきたもので、ウイルス対策ソフトのデータベースに登録されているすべてのシグネチャに対してスキャン結果に異常はなく、何の疑いも持たれることなく財務部門の受信箱に届いた。そのPDFの中には、検出を回避するために特別に作成されたペイロードが仕込まれていた。既知のシグネチャもなく、不審な動作も示さず、ウイルス対策エンジンがこれまで検知するように訓練されてきた要素は一切含まれていなかった。誰かがそれに気付いた時には、そのファイルはすでにその役割を果たし終えていた。

これは単なる仮定の話ではありません。PDF内に埋め込まれたマクロやOLEオブジェクト、JavaScript、そしてOfficeファイル内の難読化されたスクリプトは、金融サービス業界を標的とした攻撃における標準的な感染経路となっています。また、攻撃者が好んで使用するファイル形式(PDF、Excel、Word)は、決済環境において毎日カード会員データがやり取りされるのと同じ形式なのです。 報告書、明細書、口座開設申込書、ベンダーとのやり取りなどはすべてファイルとしてやり取りされるため、これらのフォーマットの一つひとつが、カード会員データ環境への潜在的な侵入経路となり得るのです。

エンドポイント全体にアンチウイルスが導入されていることを理由に、PCI DSS 4.0.1の要件5を「対応済み」と評価している場合、その対応が実際にどのような範囲をカバーしているのかを検討してみる価値があります。 アンチウイルスとEDR(Endpoint 対応)は、強力かつ不可欠なツールです。しかし、これらには「脅威を阻止するには、まずそれを認識しなければならない」という特定の前提が根底にあります。本シリーズの最初のブログ記事では、PCI DSS 4.0.1がマルウェア対策全般においてどのような点で基準を引き上げているかについて考察しました。今回の記事では、さらに一歩踏み込んで、特定の脆弱性について掘り下げます。すなわち、ファイルベースの脅威が設計上どのようにしてアンチウイルスの検知をすり抜けるのか、そして決済環境においてその脆弱性をどのように解消できるのかについて解説します。

ウイルス対策ソフトが実際に何をするのか、そしてその限界はどこにあるのか

アンチウイルスとEDRは、それぞれ本来の目的である「すでに特定されている脅威を認識すること」に長けています。シグネチャベースの検知では、ファイルを既知のマルウェアのデータベースと照合します。EDRにおける行動分析による検知では、過去の攻撃と一致するパターンを監視します。どちらのアプローチも、以前に類似した事例を目にしたことがあることを前提としています。

その依存関係こそが、同時に限界でもあります。ゼロデイ攻撃のペイロードには、照合すべきシグネチャが存在しません。難読化、暗号化、あるいは構造の改変によって静的解析を回避するように設計されたファイルは、アラートを1つも発動させることなく検査を通過することができます。攻撃者は、検知型ツールの仕組みを正確に把握しています。そのため、現代の攻撃面の多くは、それらを圧倒するのではなく、回避することを中心に構築されているのです。 だからといって、アンチウイルスやEDRの性能が低いというわけではありません。つまり、これらのツールには、定義上、まだ誰も分類していない脅威をカバーすることなど不可能な任務が課されているのです。

カード会員データ環境におけるファイルベースの脅威

これは特にCDE(カード保有者データ環境)において重要な問題です。カード保有者データは、ネットワーク経路を通じてのみ移動するわけではありません。レポート、明細書、取引ログ、ベンダーとのやり取りなどのファイルを通じて移動します。悪意のあるファイルが検知されずにその環境に侵入した場合、その結果は単にマルウェアのアラートを見逃しただけにとどまりません。それは、PCI DSSが組織に対して管理を義務付けている境界の侵害にあたるのです。 ペイロードが認識されないためにアンチウイルス(AV)の検知をすり抜けたファイルであっても、CDE内では依然としてそのペイロードを保持しているファイルであることに変わりはありません。スキャン結果によって、ファイルの内容が変わるわけではありません。

Deep CDR™ テクノロジーが代わりに何を行うのか

Deep CDR™ テクノロジーは、ファイルが悪意のあるものかどうかを問うのではなく、あらゆるファイルが悪意のある可能性があると想定し、それに応じて処理を行います。 このプロセスでは、ファイルを構成要素に分解し、実行可能なコンテンツやアクティブな脅威(マクロ、埋め込みスクリプト、OLEオブジェクトなど)を運ぶ可能性のあるものをすべて除去した上で、元の形式のまま、クリーンで完全に機能するバージョンを再構築します。この再構築は再帰的に行われます。つまり、アーカイブの中に別のアーカイブがネストされていたり、文書にファイルが埋め込まれていたりする場合でも、最外層だけでなく、すべてのレイヤーでクリーンアップが行われます。Deep CDR™テクノロジーのパフォーマンスについて詳しくはこちらをご覧ください。

その違いは、マーケティングではなく、その仕組みにあります。検知型ツールは脅威を特定しようとします。一方、Deep CDR™ テクノロジーは、脅威が特定されているかどうかにかかわらず、その脅威が機能するために必要な要素を排除します。ゼロデイ攻撃も既知のマルウェアも、同じように処理されます。なぜなら、このツールはどちらかを認識しようとはしていないからです。脅威の伝播経路そのものを完全に排除しているのです。 その結果、アクティブな脅威を媒介する可能性のあるコンポーネントを除去しつつ、元のファイルと同様に開く、表示する、機能するファイルが生成されます。独立したテストでもこれが裏付けられています。Deep CDR™テクノロジーは、SE LabsのスタンドアロンCDRテストにおいて、保護率と検出精度の両方で100%を達成した初のCDRソリューションです。

PCI DSSの観点から重要なのは、これが要件5「すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新すること」にどのような意味を持つかという点である。これは、シグネチャベースの検知では構造上捕捉できない特定の種類の脅威に対処する制御措置であり、事後ではなく、ファイルが環境に侵入したその瞬間に適用されるものである。

MetascanのMultiscanning Deep CDR™テクノロジーがPCI DSS 4.0.1にどのように対応しているか

PCI DSS 4.0.1では、特定の種類のマルウェア対策のみを求めているわけではありません。既知および未知の脅威の両方に対処する、多層的な防御体制が求められています。単一のツールでは、その特定の機能においてどれほど優れた性能を発揮したとしても、それだけではこの要件を満たすことはできません。そこで、検知と防止を組み合わせることが、特定の要件において重要になってくるのです。

要件 1:ネットワークセキュリティ対策の導入および維持

要件 1 は、信頼できないネットワークと CDE の両方に接続するデバイスからのリスクが、CDE 内に拡散するのを防ぐために設けられています。Multiscanning Deep CDR™テクノロジーMultiscanning この目標を直接的に支援します。ネットワークトラフィック、電子メール、エンドポイント、リムーバブルメディアにわたる多層的なマルウェア対策により、複数の侵入経路を同時に遮断します。また、マルチスキャンとCDRを組み合わせることで、信頼できないネットワークとCDEの境界を越えるファイルやデータが、どの経路を経由したかに関わらず、悪意のあるコンテンツが除去された安全な状態で到着することを保証します。

要件 5:すべてのシステムおよびネットワークを悪意のあるSoftwareから保護する

要件レベルにおいて、「MetascanMultiscanning 30以上のウイルス対策エンジン)と「Deep CDR™テクノロジー」(ファイルを安全な形式に再構築し、ゼロデイ脅威や埋め込み型脅威を無力化する技術)の2つが、この要件をエンドツーエンドで実現する主要な機能です。 これら2つが連携することで、マルウェア対策要件の両側面を網羅しています。5.2/5.2.1向けの「高度なファイル由来の脅威検出」では、すべてのファイルが保護された環境へのアクセスを許可Multiscanning 、Deep CDR™テクノロジーとMetascanMultiscanning によって処理されます。 5.3.2の「多層スキャン」では、マルチスキャン、サンドボックス分析、およびコンテンツの無害化と再構築が推奨される補助的な制御手段として機能します。さらに、5.4の「添付ファイルベースのフィッシング検出」では、MetaDefender Email Security Multiscanning MetascanMultiscanning サンドボックス分析Multiscanning Email Security 、悪意のある添付ファイルがユーザーに届く前に検知します。

  • 要件 5.2(マルウェアの防止と検出)。この点において、2つの技術はそれぞれ異なる役割を担い、互いに補完し合っています。MetascanMultiscanning、30以上の商用ウイルス対策エンジンでファイルをスキャンするため、単一のエンジンでは到底及ばない深度で既知の脅威を検出します。また、これらのエンジンはシグネチャとヒューリスティック、機械学習を組み合わせており、Metascanは未知のマルウェアも相当な割合で検知するため、既知および未知の脅威を合わせた総合検出率は99.2%に達します。 Deep CDR™ テクノロジーは、スキャンで見逃されたごく一部の脅威に対処し、ゼロデイ攻撃を防止します。これらを組み合わせることで、既知の脅威は確実に捕捉され、スキャンだけでは見逃されてしまう脅威も、問題となる前にその攻撃経路を遮断することができます。
  • 要件 5.3.2(リアルタイムまたは定期的なスキャン)。Deep CDR™ テクノロジーは、データ取り込みの時点でインライン処理を行います。すべてのファイルは、スケジュールされたスキャンではなく、環境に入ってきた時点で処理されます。これにより、定期的なスキャンに頼ってその間にすり抜けたものを捕捉するのではなく、Web トラフィック、電子メール、ファイル転送チャネル全体にわたるリアルタイム検査の要件を同時に満たすことができます。
  • 要件 5.4(フィッシング対策メカニズム)。MetaDefender Security™ は、MetascanMultiscanning サンドボックス分析Multiscanning 組み合わせて、悪意のある、あるいは不審な添付ファイルが受信トレイに到達する前に検知します。一方、MetaDefender 、制御された環境下で不審な添付ファイルの動的分析を行うことで、シグネチャベースのスキャンを回避するゼロデイ攻撃や難読化されたペイロードを検知します。MetaDefender 、その可視性をネットワーク層にまで拡張し、フィッシングキャンペーンに関連する不審な接続やペイロードの配信を検知・フラグ付けします。

要件 6:Secure およびSoftwareの開発と維持

要件 6.3(脆弱性の特定)。既知のソフトウェアの脆弱性を標的としたエクスプロイトを含むファイルは、ネットワークレベルだけでなく、ファイルレベルでのリスクでもあります。Deep CDR™ テクノロジーは、ファイルがユーザーやシステムに到達する前にエクスプロイトの配信メカニズムを排除するため、基盤となる脆弱性にパッチが適用されているかどうかにかかわらず、本来なら侵入してしまうはずの地点でこのリスクに対処します。

これがご自身のPCI DSS適用範囲とどのように対応しているか気になりませんか? PCI DSSコンプライアンスガイドを入手して MetascanのMultiscanning Deep CDR™テクノロジーが、どの部分に適用されるかを詳しくご確認ください。

スタックにおけるMultiscanning CDRの位置づけ

この多層的なアプローチの価値は、それが導入される場所によって異なります。エンドポイントでのみ適用される対策では、ファイルの移動経路の残りの部分は保護されません。また、カード会員データは、多くのコンプライアンス・マトリックスが想定しているよりも多くの経路を通じてCDEの境界を越えて移動します。決済環境において、最も重要なポイントは、ファイルがその境界を日常的に越える箇所です。

  • Webアプリケーションのセキュリティ:カード保有者データを受け取るアプリケーションは、アップロードやファイルベースのやり取りを通じて、悪意のあるファイルやゼロデイ脅威がCDEに侵入する経路ともなり得ます。
  • メールゲートウェイ:添付ファイルは配信前にサニタイズされるため、金融サービス業界におけるスピアフィッシングで最も一般的な配信形式である、悪用されたOffice文書や悪意のあるPDFが排除されます。
  • WebプロキシICAP:HTTPおよびHTTPSトラフィックはリアルタイムで検査され、インターネットからダウンロードされたファイルは、社内システムに到達する前に再構築されます。
  • リムーバブルメディア: USB からのファイルは、CDEに入る前にキオスクで消去処理されます。これにより、要件5.3.3に直接対応し、リムーバブルメディアを攻撃経路として遮断します。
  • 管理型ファイル転送:パートナーやベンダーとやり取りするファイルは、受信時だけでなく、転送中にも不要な情報が削除されます。

OPSWAT、これらのポイントすべてにおいて、MetascanMultiscanning Deep CDR™テクノロジーを一貫して適用するとともに、Proactive DLP™テクノロジーやその他の機能も組み合わせているため、ファイルがどのチャネルを経由して到着したかによって検出範囲が左右されることはありません。 また、ファイルがどのような形式で到着するかにも依存しません。Deep CDR™テクノロジーは、決済ワークフローで主流となるPDF、スプレッドシート、Word文書から、実際にはCDEの境界を越えて流通する画像、アーカイブ、その他の形式に至るまで、200種類以上のファイル形式をカバーしています。

既知のものであれ、未知のものであれ、結果は同じだ

この記事の冒頭で紹介したPDFファイルに立ち返ってみましょう。そこには仮定的な要素は一切なく、誰かの不手際によるものとも言い難い状況でした。ベンダーは正規のものであり、スキャン結果にも異常はなく、ファイルは意図した通りに納品されました。これこそが、「要件5」が防止するために設けられたシナリオであり、また、ウイルス対策ソフトのみに基づいて構築されたマッピングでは完全に対処しきれないシナリオでもあるのです。

Deep CDR™ テクノロジーは、危険性のある可能性のあるコンポーネントを除いてファイルを再構築するため、ペイロードが既知のものか未知のものかという疑問に、そもそも答える必要がなくなります。MetascanMultiscanning シグネチャを持つあらゆる対象に対して同様の処理Multiscanning 。これら 2 つの技術により、財務部門の受信トレイに届くファイルは、検知された脅威か、動作に必要な部分が欠落した脅威のいずれかであり、単にまだ認識されていないだけの脅威は決して存在しません。

要点

  • 決済データは、ネットワークセキュリティの点検対象外となる業務文書(報告書、明細書、取引先とのやり取りなど)を通じてやり取りされています。
  • 既知および未知の脅威の両方をカバーします。30種類以上のウイルス対策エンジンが既知のマルウェアを検知し、Deep CDR™ テクノロジーは、脅威を事前に特定する必要なく、ゼロデイ攻撃の実行に必要なコンポーネントを削除します。
  • これは、特定のPCI DSS要件(5.2、5.3.2、5.4、1.5/1.5.1、11.5/11.5.1)に準拠しており、評価者が確認した際に、当該管理措置が実行中であることを示す一元化されたログが記録されます。

Deep CDR™ テクノロジーMultiscanning 、PCI DSS 4.0.1 の要件全体に対して具体的にどの部分にMultiscanning を確認したいですか?「PCI DSS コンプライアンスガイドおよびチェックリスト」をダウンロードして、各コントロールごとの詳細な内訳をご確認ください。

OPSWATで最新情報をお届けします!

今すぐご登録ください、 ストーリー、イベント情報などをお届けします。