PR
写真1●PDF形式や元の文書ファイルの形式にファイルを作り直して転送する(チェック・ポイントの発表会資料より)
写真1●PDF形式や元の文書ファイルの形式にファイルを作り直して転送する(チェック・ポイントの発表会資料より)
写真2●Threat Extractionの設定画面。削除対象となるリスク
写真2●Threat Extractionの設定画面。削除対象となるリスク

 チェック・ポイント・ソフトウェア・テクノロジーズは2015年3月25日、届いたメールに添付されていたり、ユーザーがインターネットからダウンロードしたりする文書ファイルを“無害化”して転送する機能「Threat Extraction」を提供開始すると発表した。同社のゲートウエイ製品「Next Generation Threat Prevention」(NGTX)のアドオンとして利用する。文書ファイルに含まれるマクロやJavaScript、リンクといったリスク要素を取り除き、安全なテキストや画像だけをレイアウトを崩さないように貼り付けた別ファイルを作成して転送することで、社内ネットワークへのマルウエアの侵入を防ぐ(写真1)。

 同社システム・エンジニアリング本部セキュリティ・エキスパートの卯城 大士氏は、「2014年の調査で、84%の企業が、不正なマクロやJavaScriptを含む文書ファイルをダウンロードしていたと分かった。メールなどを使った文書のやり取りが一般的な現在、文書ファイルに含まれるマルウエアは企業によって大きな脅威である」と説明した。しかしシグネチャーベースのウイルス検知や、仮想環境を使ったサンドボックス型対策でも、文書ファイルに含まれるマルウエアを100%は検知できない。またサンドボックス型対策では、マルウエアの判定に時間がかかるため、判定が終了するまで転送を止めるか、マルウエアをいったん素通しさせるといった運用を行う。Threat Extractionは、2、3秒で無害化したファイルを転送するので、サンドボックス型対策によるマルウエアの判定結果が出るのを待たずに、ユーザーがおおよその文書ファイルの内容を安全に把握できる。

 Threat Extractionが無害化できるのは、PDF形式もしくはマイクロソフトのOffice製品で作成したファイル。どのファイル形式を無害化処理の対象にするかは、利用者が設定できる。またファイルから取り除くリスク内容も利用者が選べる(写真2)。ユーザーがリスクを承知した上で無害化される前のオリジナルの文書ファイルをダウンロードできるリンクを、自動で通知する仕組みも用意される。NGTX上でサンドボックス型対策を合わせて稼働させれば、無害化した文書ファイルをユーザーに転送した後、サンドボックス型対策で安全だと判定されたときだけユーザーにオリジナルファイルのダウンロードを許可するといった設定も可能だ。

 2015年第2四半期に提供開始されるThreat Extractionは、NGTXをメールゲートウエイとして使用したときの添付ファイルのみに無害化処理を適用できる。2015年第3四半期には、添付ファイルだけでなく、Webアクセスにも適用できるようにThreat Extractionの機能が拡張される見込み。