アーカイブ抽出
アーカイブファイルには、従来のセキュリティ
ツールを回避するように設計された、複数の圧縮層が含まれていることがよくあります。OPSWAT Extractionは、アーカイブを安全に解凍し、すべてのファイルを詳細な分析にかけます。
- 再帰的なアーカイブの解凍
- アーカイブ爆弾の検知
- データの破損防止
OPSWAT 信頼
設定可能な深さまで
を再帰的に抽出する
160+
アーカイブ形式
対応
シングルパス抽出
すべてのエンジンにおいて
アーカイブ爆弾の検知と封じ込め
暗号化およびパスワード保護されたアーカイブのサポート
攻撃者がアーカイブの構造を悪用する
ネストされたレイヤー、形式の不正なヘッダー、連結されたアーカイブは、
ファイルの表面のみを検査して安全であると判断し、削除してしまうスキャナーを無力化します。
潜む脅威
アーカイブ全体をスキャンしただけでは、その中身が何であるかは判明しません。攻撃者は、ネストされたレイヤー、連結されたZIPファイル、自己解凍型コンテナ、および多言語ファイルなどを用いて、パーサーがペイロードに到達する前に処理を停止させるように仕向けます。スキャンに解凍が前提条件となっている限り、検知エンジンは実際の脅威を検査することはできません。
暗号化されたアーカイブ
パスワードで保護されたアーカイブは、パスワードがなければ、ほとんどのセキュリティツールでは読み取ることができません。アクティブなキャンペーンでは、相関分析を回避するためにパスワードを別の経路で送信し、この手法を用いてランサムウェアや情報窃取型マルウェアの配布を続けています。
形式不備またはサイズ超過のアーカイブ
アーカイブは、損害を与えるためにペイロードを格納している必要はありません。解凍型爆弾は、CPU、メモリ、ディスクのリソースを消耗させてスキャンパイプラインを停止またはクラッシュさせ、他の脅威が検査を受けずにすり抜ける隙を作ります。再帰深度、ファイル数、または抽出サイズに制限が設けられていない場合、深くネストされたアーカイブも同様の結果をもたらします。
一貫性のある、拡張性の高いアーカイブ抽出
アーカイブ抽出エンジンは、圧縮ファイルやコンテナファイル形式の展開を一元管理し、内部のすべてのファイルが抽出され、他のスキャンエンジンを通過する前に詳細な分析が行われるようにします。
スキャンが実行される前にすべてのファイルを抽出する
このエンジンはアーカイブを再帰的に展開し、ネストされた階層をたどることで、表面的なスキャンでは決して検出されない子ファイルを抽出します。抽出されたすべてのファイルは、その後、下流のエンジンへと渡されます。
操作を中断することなく暗号化されたアーカイブを処理する
暗号化され、パスワードで保護されたアーカイブは、設定可能な抽出ポリシーを通じて処理されるため、セキュリティチームは、ワークフローを妨げるような一律の許可またはブロックといった決定に頼ることなく、検査範囲を確保できます。アーカイブの処理はファイルタイプごとに1回実行されるため、ネイティブな復号機能を備えていないエンジンによってスキップされることなく、すべてのエンジンで暗号化された形式に対して一貫した処理が行われます。
スキャンインフラを保護するための制限を適用する
再帰深度、ファイル数、および抽出後の合計サイズを調整可能な制御機能により、デコンプレッション・ボムや過大なペイロードによるシステムリソースの枯渇を防ぎます。管理者は、すべてのアーカイブ形式において、徹底性とパイプラインの安定性のバランスを取りながら、抽出を停止するポイントを正確に定義できます。
詳細な解析、完全な可視化、より優れた
検査
アーカイブ抽出エンジンは、最適化されたパーサーを活用してファイルを抽出するとともに、抽出ロジックを統一し、スキャンおよびCDRワークフローと連携します。
ステップ1抜歯前に確認する
宣言された拡張子ではなく、実際のファイル署名に基づいてすべてのアーカイブを検証し、抽出処理を開始する前に、偽装されたり名前が変更されたりしたコンテナが正しく識別されるようにします。
- ステップ2
ファイルを再帰的に抽出する
設定された深度制限まで、ネストされたすべてのレイヤーを展開します。アーカイブの種類ごとに1回ずつ抽出処理を実行し、その結果をすべての下流エンジンで共有することで、冗長な処理を排除します。
- ステップ3
抽出されたファイルの詳細な分析
抽出された各ファイルは、不透明なコンテナの一部としてではなく、独立したオブジェクトとして、MetaDefender スタック全体に個別に送信されます。
主な機能とメリット
再帰的なアーカイブの解凍
複雑なアーカイブ構造の奥深くに隠されたファイルを、単一スキャンでは決して検出できない場所から自動的に抽出します。いかなる階層構造も、悪意のあるペイロードの隠れ家にはなりません。
すべてのエンジンにわたるシングルパス抽出
アーカイブの処理はファイルタイプごとに1回実行され、抽出された出力は下流のすべてのスキャンエンジンで共有されるため、重複した解凍処理が不要になります。これにより、導入されているエンジンの数にかかわらず、処理速度が向上し、一貫した結果が得られます。
設定可能な抽出制限
管理者は、ワークフローごとに再帰の深さ、抽出可能なファイル数の上限、および解凍後の合計サイズについて、明確な上限を設定します。これにより、システムリソースを枯渇させたり、スキャンパイプラインを停止させたりする前に、解凍時のリソース消費が急増するファイルや、サイズが過剰なアーカイブを未然に防ぐことができます。
導入オプション
オンプレミス
既存のセキュリティインフラストラクチャ内に導入することで、完全な制御とカスタマイズが可能です。
Cloud
クラウドベースの処理を活用し、分散環境全体でアーカイブ分析を拡張します。
ハイブリッド
オンプレミスとクラウドの展開を組み合わせることで、パフォーマンスとセキュリティ対策を最適化します。
参考資料
アーカイブ抽出エンジンとMetascanアンチウイルスエンジンの抽出機能の違い
OPSWAT Engineと7-Zipの違い
