チェック・ポイント・ソフトウェア・テクノロジーズは3月25日、文書ファイルを経由したマルウェア感染を未然に防ぐ新たな機能「Check Point Threat Extraction」を発表した。
Threat Extractionは、ネットワーク上の文書ファイルなどに仕込まれたマルウェアを瞬時に取り除き、無害化したファイルを遅延なしで内部ネットワークのユーザーに転送する。Next Generation Threat Preventionの新たなパッケージとなる「NGTX」の一部として2015年第2四半期(4~6月)中に販売を開始する。
チェック・ポイント・ソフトウェア・テクノロジーズ 代表取締役社長 堀昭一氏
チェック・ポイント・ソフトウェア・テクノロジーズ セキュリティ・エキスパート 卯城大士氏
Check Point Software Technologies バイスプレジデント Steve McWhirter氏
同社のセキュリティ・エキスパートの卯城大士氏は「従来の仕組みでは、マルウェアを検知してからブロックしていたが、検出とブロックに最長で79分を費やす場合もあった。1分間にひとつのマルウェアが送りこまれれば、この間に79個のマルウェアが侵入し、それを誰かがクリックする可能性は高い」と現状を解説した。
「Kasperskyの調査では、既知のマルウェアでは1000個のうち71個の検出漏れがあり、未知のマルウェアでは100個中5個が検出漏れとなっている。すべてのマルウェアが検知できないことがわかっている。マルウェアは待ってくれない。Threat Extractionでは、潜在的な脅威を完全に取り除く画期的な新技術であり、文書に含まれる不正なコンテンツは事前にすべて除去。マルウェアからネットワークを保護できるのが特徴である」(卯城氏)
代表取締役社長の堀昭一氏は、「これまでの製品は危険性があると感じたWordやExcelなどの添付ファイルについては一度、サンドボックスで確認して再配信するために時間がかかったり、あるいはメールが届かなかったりという場合がある。今回の技術でWordからテキストだけを抜き出して、それを問題がないWordに再度張り付けて文書ファイルを再構成。無害化したファイルを瞬時に届けるというものになる。これまでに例がない画期的な製品」とその意義を強調した。
同社の調べによると、2013年に社内で不正な文書ファイルのダウンロードが発生した企業の割合は84%にのぼっており、この種の攻撃への対策が十分に強化されていないのが現状。Microsoftによると、わずか数週間で8000個のファイルでマクロが悪用されたと報告されている。
Check Point Software Technologiesでアジア太平洋と中東アフリカの地域でセールスを担当するバイスプレジデントのSteve McWhirter氏は「Threat Extractionは、マルウェアを検出するのではなく、マルウェアを取り除くという点が大きな特徴。これは他社にはない技術。われわれは一歩前に出たセキュリティを提供することになる。対策する予防的に対応し、文書を瞬時に無害化する。多くの企業ではメールの添付ファイルを多用している。Threat Extractionは、マルウェアを取り除き、無害化したことをメッセージでも通達しており、利用者は安心して添付ファイルを開くことができる」と語る。
Threat Extractionでは、攻撃を可視化し、文書ファイルを検査。アクティブコンテンツや埋め込みオブジェクトなど悪用可能なコンテンツをすべて抽出した上で危険性のない100%安全なコンテンツだけで文書を再構成するという。
「オブジェクトやリンクなどもすべて取り除いてしまう。そのため、オリジナルにアクセスできるような仕組みも用意している。対応しているのはPDFとMicrosoft Office。再構成した文書は、元のフォーマットを維持しながら提供する方法とPDFに変換して提供する方法との2つから選択できる」(卯城氏)
すでに提供しているサンドボックス「Threat Emulation」やボット対策、不正侵入防御(IPS)、ウイルス対策などのソフトウェアブレードと組み合わせることで、Threat Extractionの有効活用が可能になるという。
4~6月中に発売するThreat Extractionは、メールに添付されたファイルを無害化するものだが、ウェブにアクセスして、ファイルをダウンロードした場合にも無害化できる機能を第3四半期(7~9月)中にも提供するという。将来的にはスマートフォンに対応したThreat Extractionを提供する可能性などについても言及した。
Threat Extractionは文書ファイルを無害化するという