2023年1月25日

マルウェア対策としてのCDR(無害化)ソリューションの3つの問題点

社内、社外またはサードパーティからのアプリケーションファイルのアップロードは、新たな脅威のベクトルとなっています。

AVやサンドボックスのような従来のアプローチは、悪意あるコンテンツを捕捉するために多くの組織で使用されてきましたが、スピード、効果、規模に関して重大な欠点がありました。CDRはこれらの懸念に対処するために作られましたが、それでもまだいくつかの大きな問題点があります。

CDR(Content Disarm and Reconstruction)は、悪意のあるファイルのアップロードを防ぐという点では非常に有望ですが、実際には、十分とは言えません。

本ブログでは、CDRの歴史、長所と短所、そしてビジネス上でリスクを大幅に削減するマルウェア対策に代わる優れた方法について説明します。

また、他のファイルアップロードセキュリティ対策についても、こちらで詳しく説明しています。 ファイルセキュリティ: 包括的なセキュリティのための新しいカテゴリ

CDR(Content Disarm & Reconstruction)とは?

CDR(Content Disarm and Reconstruction)は、悪意あるファイルを防ぐための新しい方法として登場しました。CDRは、送られてくるすべてのファイルをスキャン、検査、完全に分析するのではなく、マクロやVBAなど、潜在的に悪用されたり、悪意があったりするファイル内のアクティブコンテンツを対象とします。この技術の利点は、潜在的に悪意のあるファイルを非常に迅速に駆除することができるため、ファイルサンドボックス化による遅延を回避できることです。

出典: SaniTOX - Content Disarm & Reconstruction(CDR) サービス*

CDRの種類

CDRの基本的な3つの考え方は:

  1. フラットファイル変換:Tアクティブなコンテンツを持つ新規ファイルを取得し、そのフラットコピーをPDF形式で作成します。この方法は、迅速かつ効果的に攻撃対象領域を最小化することができますが、悪意のあるファイルと良性のファイルを区別する能力がないため、マクロ、フォームフィールド、ハイパーリンクなどの正当なコンテンツが消去されます
  2. コンテンツのストリッピング: アクティブコンテンツと埋め込みオブジェクトを除去し、元のフォーマットでファイルを再構築することで、エンドユーザーの使い勝手をある程度維持します。ただし、CDRは悪意のあるファイルと良質のファイルを区別できないため、正当なコンテンツであっても破壊されることがあり、元のファイルを取得するためには管理者の操作が必要になります
  3. Positiveの選択: テンプレートに基づいてファイルを再構築することにより、前の2つの方法の欠点に対処しようとするもので、再構築後のファイルの完全な機能を維持するのに役立ちます。これは、既知の良性な(積極的に選択された)コンポーネントのみを再構築されたファイルにコピーすることによって行われます。この方法は、削除または破壊される正当なコンテンツの量を削減する一方で、マルウェア識別機能がないため、不正確であることがほとんどです

マルウェア対策としてのCDR(Content Disarm and Reconstruction)の3つの問題点

2021年のレポートで、ガートナーは「CDRはうまくいけば、大きなレイテンシーを追加することなく、アップロードされたファイルからすべての脅威を取り除くことができますが、同時にCDRの大きな欠点は、ファイルの内容を変更してしまうことにあります」と述べています。

CDRは、転送中にファイルを修正するため、テキストや画像などの編集できないファイルが大幅に変更されて配信されることが比較的高い確率で発生します(図1参照)。CDRで加工されたファイルによくある問題として、文書ファイルとの互換性やフォントの問題で編集ができなくなった文書や、画像が正しく再構成されなかったり、高解像度が失われたりすることが挙げられます。

図1:CDRはドキュメントの機能喪失につながる(出典: Infused Innovations†)

CDRによってITチームの仕事が増える:

  • この技術では、正当なアクティブコンテンツと悪意のあるアクティブコンテンツを区別することができないため、CDRはすべてのファイルを詳細に調査する必要があります
  • 信頼できるソースからマクロ付きのスプレッドシートを受け取ることを期待していたユーザーは、そのファイルの代わりに重要な機能が無効化されたフラットファイルを受け取ることになります
  • そのため、オリジナルのファイルを要求するために、ヘルプデスクとのやり取りが必要になります
  • • ユーザーが要求したタイミングによっては、元のファイルを利用できない可能性があります

CDRはビジネス上非常に重要な問題を提起している:

  • 非常に多くの場合、IT部門は、特定のファイル(またはグループ)、または遅延や文書がそのまま残らない可能性を許容できない経営陣のために例外を認めなければならなくなります
  • さらに、この技術が導入されていることを知っているユーザーは、この技術を避け、個人の電子メールアカウントなど、別の方法でファイルを受信することがよく知られています
  • これでは、せっかくの技術も台無しになってしまいます

CDRは限られた種類のファイルに対してのみ保護を提供する:

  • CDRソリューションでは、EXEやDLLなどのポータブルな実行ファイルや、ほとんどの画像ファイルをサニタイズすることができません
  • これは、別のソリューションで対処しなければならない広いセキュリティギャップを生み出し、また誤ったセキュリティ意識につながる可能性があります

悪意のあるファイルのアップロードから保護するためのより良いアプローチ:マルウェア対策

悪意のあるファイルのアップロードが懸念される中、企業はビジネスのニーズに合ったスピードとスケールでマルウェアを防止できる摩擦のないソリューションを必要としています。CDRは、従来の方法と比較していくつかの利点がありますが、私たちはその利点をはるかに上回る欠点があると考えています。

Deep Instinct Prevention for Applications は、REST APIまたはICAPを介してエージェントなしで実装される、独自のファイルスキャンソリューションです。エンドポイントでの実行を許可される前に脅威を防止することが実証されている、業界をリードする静的マルウェア対策エンジンを搭載したDeep Instinctは、すべての企業のファイルスキャンセキュリティ要件を満たしています:

最速のスピード

  • 未知のマルウェアに対して、20ms以内に悪意があるか無害であるかを判定
  • 脅威情報のフィードに依存することなく、自律的に判定を実行

高いスケーラビリティ

  • 1日あたり数百万ファイルをレイテンシーなしでスキャン可能
  • 誤検知率を0.1%未満に抑え、SOCの効率を改善

最高レベルの未知の脅威に対する有効性

  • 他のソリューションで見落とされたOfficeファイルやPDFの感染を防止
  • ランサムウェアが実行されて感染する前に阻止

プライバシーを守る

  • お客様の環境からデータを一切持ち出すことなく、データのプライバシーを保護

ゼロデイや未知の脅威をファイルアップロードから阻止することは、リスクを低減する上で最も重要なことです。もし、あなたの環境でファイルアップロードについて懸念しているのであれば、脅威が内部に侵入する前に阻止するための最新の防御アプローチを検討する時期が来ています。詳しくは、ホワイトペーパーをご覧ください: ファイルセキュリティ: 包括的なセキュリティのための新しいカテゴリ

Deep Instinct Prevention for Applications は、ファイルアップロードセキュリティのニーズに対応するために特別に設計され、オリジナルファイルのコンテンツと整合性を維持しながら、比類ないスピード (20ミリ秒未満での判断) 、効果 (99%以上の検知率) 、精度 (0.1%未満の誤検知率) でこれを実現します。

悪意のあるファイルから身を守る方法の詳細については、Deep Instinct に今すぐお問い合わせください

リソース

出典

* https://sanitox.jiransecurity.com/scan/

https://www.infusedinnovations.com/blog/secure-intelligent-workplace/what-is-content-disarm-and-reconstruction-cdr