外部からの攻撃対策機能

「外部」からの攻撃対策 ブロック事例

「i-FILTER」Ver.10に搭載されている「クラウドルックアップ機能」は、ユーザーが未登録のURLにアクセスしようとした場合、個人情報を含むパラメーターを取り除いたあとに、URLをクラウド上のデータベースに通知、カテゴリ分類後データベースに配信しています。
「i-FILTER」Ver.10をご利用いただいている企業様のうち、数百社のお客様から、日々様々なマルウェアに感染の疑いのある未登録のURLへのアクセス情報が通知され、最新の悪性URLの情報を蓄積しています。

デジタルアーツでは、この日々蓄積されるURLのアクセス情報の中からマルウェア感染の疑いやホームページを改竄されている企業を見つけ出し、リスク情報を提供する「Dアラート ~サイバーリスク情報提供サービス~」を無償で実施しています。

この「Dアラート」により、「外部」からの攻撃を未然にブロックした事例をご紹介します。

Case 01Webサイトの改竄を「i-FILTER」で検知、マルウェア感染をブロック

Webサイトの改竄を「i-FILTER」で検知、マルウェア感染をブロック
A社様事例
業種:卸売業 従業員数:100名以上
A社様のお客様
業種:化学メーカー 従業員数:3,000名以上

卸売業であるため、様々なメーカーのWebサイトを毎日閲覧しているA社様は、Webフィルタリングの用途として「i-FILTER」Ver.10を導入。
「i-FILTER」クラウドDBに、A社様から『カテゴリ外』のURLが通知があり確認したところ、マルウェアをダウンロードするURLであることがわかりました。「i-FILTER」Ver.10全ユーザーへそのURLを『脅威サイト』として、データベース配信を当日中に実施。また、そのURLの『Referer』の確認により、A社様のお客様のWebサイトが改竄され、マルウェアダウンロードのURLにリダイレクトされていることも判明しました。 A社様では、そのURLが『カテゴリ外』のためブロックされていましたが、A社様のお客様の改竄されたWebサイトが感染源となり、マルウェアダウンロードのURLにアクセスしようとしていたことをデジタルアーツからA社様にご連絡しました。A社様のお客様には、Webサイトが改竄されていることをお知らせしました。

Case 02「i-FILTER」Ver.10利用でマルウェア感染の端末を検知

「i-FILTER」Ver.10利用でマルウェア感染の端末を検知
B社様事例
業種:不動産業 従業員数:100名以上

B社様では、外部からの攻撃対策として「i-FILTER」Ver.9からVer.10へリリース直後にバージョンアップ。「i-FILTER」Ver.10導入後、「i-FILTER」クラウドDBには、B社様から『カテゴリ外』のURLが定期的に通知され、マルウェアに感染している可能性が見られました。そのURLは『カテゴリ外』のためB社様との通信はブロックされていましたが、マルウェア感染の可能性が高い旨をB社様にご連絡し、すぐにアクセスログから端末を特定、端末を隔離しました。その後、端末からマルウェアを除去し、通常運用に戻りました。
また、そのURLは、C&CサーバーのURLであることがわかり、『脅威サイト』として「i-FILTER」Ver.10全ユーザーへデータベース配信を当日中に完了しました。

Case 03標的型メールもスパムメールも、連携ソリューションがブロック

標的型メールもスパムメールも、連携ソリューションがブロック

※メール偽装レベルが小さいスパムメールが一部含まれる

C社様事例
業種:小売業 従業員数:3,000名以上

C社様では、長年「i-FILTER」と「m-FILTER」をご利用いただいており、「i-FILTER」Ver.10と「m-FILTER」Ver.5のリリース直後に連携ソリューション運用を開始いただきました。運用後、標的型メールを受信しましたが、「m-FILTER」Ver.5の偽装判定で隔離。ユーザー端末には標的型メールが届いていないことも確認できました。メール本文と添付ファイル内にあった悪性URLは、「i-FILTER」Ver.10に登録され、万が一そのURLにアクセスがあっても「i-FILTER」Ver.10で、ブロックできる環境が整いました。運用中の別のアンチスパムソリューションでは、メール偽装のレベルが小さいものや一部のスパムメールは、すり抜けてユーザー端末に届いてしまいますが、メール本文に記載されているURLが悪性URLの場合は、「i-FILTER」Ver.10では『カテゴリ外』となりブロックされます。このため「i-FILTER」Ver.10と「m-FILTER」Ver.5の連携ソリューションでは標的型メールもスパムメールも対策することができました。

Case 04「i-FILTER」の万が一の抜け漏れを防ぐため、
「m-FILTER」での対策で補完

標的型メールもスパムメールも、連携ソリューションがブロック

※ばら撒きメールのURLは、基本的には「i-FILTER」が『カテゴリ外』としてブロックするが、「m-FILTER」側で下記を実施して補完
・添付ファイル内のURL → マクロ除去対象外の添付ファイルを強制隔離
・メール本文内のURL → URLリンクを無効化しクリックさせない (http:// → ttp://)

D社様事例
業種:地方銀行 従業員数:500名以上

D社様では、長年「i-FILTER」をご利用いただいておりました。再度バンキングマルウェアのばら撒きメールが活性化してきたことからメールセキュリティ対策の強化を検討し、「m-FILTER」Ver.5への乗り換えと「i-FILTER」Ver.10のバージョンアップを同時に実施いただきました。バンキングマルウェアのばら撒きメール内のURLは、基本的には「i-FILTER」Ver.10が『カテゴリ外』でブロックできますが、サイトが改竄された場合や、無害なホスティングサイトにマルウェアを設置された場合、ブロックされない可能性があるため、「m-FILTER」Ver.5で補完。バンキングマルウェアのばら撒きメールは、Microsoft Off ice 2003以前の形式の添付ファイルのマクロを悪用したものが多く、「m-FILTER」Ver.5ではMicrosoft Off ice 2003以前の形式のマクロ除去ができないため、マクロ除去対象外のファイルを添付ファイルのみを強制隔離することと、メール本文内のURLリンクは無効化し、むやみにクリックさせないようにする運用を実施しております。

Webによる「外部」からの攻撃対策

「ホワイトリスト」運用を可能にした全く新しいDBにより、
業務の邪魔をせず「安全なWebの世界」を実現

「i-FILTER」のDBは、これまでの「ブロック対象となりうるURLをカテゴリ分類する方式」から、「あらゆるURLをカテゴリ分類する方式」に変更しました。

「安全なWebの世界」を実現する仕組み 01

「Surface Web(検索サイトで検索可能な国内のサイト)」のURLを、コンテンツのURLまで含めてDB登録することで、ブラウザーで閲覧可能なURLをすべて把握します。
業務で利用するWebサイトは、検索サイトで検索できるため、業務のWeb閲覧を阻害することはありません。
また、マルウェアの通信先のC&Cサーバーや未知の脅威に利用されるアドレス空間の「Dark Net」や「Dark Web」、「Deep Web」といった「Surface Web」以外のサイトとの通信は「カテゴリ外」としてブロックすることが可能です。

あらゆるURLをカテゴリ分類する仕組み 01
「安全なWebの世界」を実現する仕組み 02

検索サイトで検索可能な国内のサイトも日々新しいURLが追加されています。ユーザーが未登録のURLにアクセスしようとした場合、個人情報を含むパラメーターを取り除いたあとに、クラウド上のデータベースに通知されます( クラウドルックアップ機能)。
弊社にて、カテゴリ分類後に再配信することで、DBの網羅率を維持する仕組みを用意しています。

「安全なWebの世界」を実現する仕組み 02

全世界の地域と言語のURLを網羅する「Global Database」オプション

「Global Database」オプションを追加することで、海外のURLも、100%に近い網羅率のDBを利用することができるようになります。グローバル展開する企業、外資系企業などでも、安全なWebアクセスを実現することができます。

全世界の地域と言語のURLを網羅する「Global Database」オプション

『m-FILTER』 Ver.5との連携で実現する偽装メールDBで標的型メール由来のアクセスをブロック

『m-FILTER』 Ver.5との連携で実現する偽装メールDBで標的型メール由来のアクセスをブロック

※本機能は、「i-FILTER Ver.10」と「m-FILTER Ver.5」の両方をご利用いただいている場合のみご利用可能です。
 事前に利用申請が必要なため、ご利用される場合は、ご購入された販売代理店様までご連絡いただけますようお願いいたします。

多層の制御構造で標的型攻撃をブロック

『i-FILTER』Ver.10では、『m-FILTER』Ver.5との連携による偽装メールDB、未登録のURLのブロックによる「ダークネット」や「Deep Web」との通信の根絶を簡単に設定可能です。また、Global Databaseオプションによる全世界の地域と言語の網羅により標的型攻撃由来のWebアクセスをより確実に阻止し、『i-FILTER』が従来から持っている『脅威情報』や『不正IT技術』などのカテゴリや個別リストを組合せることで、標的型攻撃対策から従来の内部情報漏洩対策としてのWebフィルタリング機能まで一気通貫で1つの製品で実現可能になります。

多層の制御構造で標的型攻撃をブロック

※「Global Database」オプションを追加することで、海外のURLもほぼ100%の網羅率でDBを利用することができるようになります

SSL通信を利用したマルウェア通信も解析可能にするSSL APT Adapterオプションを新たに用意

SSL通信をデコードしてサンドボックス製品などで検知を可能にするオプション。従来の『i-FILTER』ではSSLデコードした通信を外部機器に受け渡すことができず、C&CサーバーとのSSLコールバック通信を解析するためには、SSLアクセラレーター製品を別途導入する必要がありましたが、手軽な値段で実現することができるようになります。

SSL通信を利用したマルウェア通信も解析可能にするSSL APT Adapterオプションを新たに用意

メールによる「外部」からの攻撃対策

送信元を偽装したメールをブロック

DNSのSPFレコードの問い合わせの実施とメールヘッダー参照により送信元の偽装を判定することが可能です。

送信元偽装判定

拡張子を偽装した添付ファイルをブロック

「多重拡張子」「拡張子前の大量空白」「禁止拡張子」「実行ファイル形式」「マクロ含有」等の有無を判定し、安全な添付ファイルのみを受信します。「実行ファイル形式」「マクロ含有」判定については、ファイル内容を検査し判定するため、拡張子が変更されている場合も判定可能です。

添付ファイルの拡張子偽装判定

本文を偽装したメールをブロック

「見かけと実際のURLが異なる(aタグ偽装)」「URLにグローバルIPアドレスが使用されているか」「禁止拡張子のファイルをダウンロードするURLか」「禁止ワードがアンカーテキストに使用されているか」等の情報を判定し、安全なメールのみを受信することが可能です。

リンク偽装有無判定

添付ファイルのマクロをブロック

添付されているOfficeファイル等のマクロを除去することができます。マクロを利用したマルウェアは増加傾向にあり、「マクロ除去」をすべてのメール添付ファイルに対して実施することを推奨します。
また、「m-FILTER Archive」をご利用であれば、「マクロ除去」前の原本を取得することも可能です。

添付ファイルのマクロをブロック
導入検討資料
「i-FILTER」×「m-FILTER」の導入検討の際にご活用いただける資料をPDFファイルにてご用意いたしました。ぜひご活用ください。
  • 導入検討資料ダウンロード
無料試用版
こちらから「i-FILTER」×「m-FILTER」の全機能を30日間無料でお試しいただけます。導入検討の際にぜひご活用ください。
  • 30日間無料試用版ダウンロード
お問い合わせ
製品の資料請求、お見積もり、ご購入やご導入に関してのご相談やご質問は、こちらからお気軽にお問い合わせください。
  • ご購入前のお問い合わせ

ご購入前のお問い合わせ

資料請求、お見積もり、ご購入・導入に関するお問い合わせは、こちらよりお願いいたします。

■お電話でのお問い合わせ
03-5220-3090
平日 9:00~18:00
※土・日・祝日、弊社指定休業日除く