高度な持続的脅威 (APT) は、高度なマルウェアやゼロデイ エクスプロイトを悪用してネットワークや機密データに長期間侵入するネットワーク攻撃の一種です。APT 攻撃はきわめて洗練されており、政府や金融セクター企業など、知名度の高い特定機関を攻撃の対象とすることがよくあります。こうした高度なマルウェアの悪用は、小規模のネットワークや知名度の低い組織にも向けられています。
APT 攻撃は最新のターゲットを絞ったマルウェア技法やゼロデイ エクスプロイト (ソフトウェア ベンダーが未発見または未修正の欠陥) を悪用してネットワーク内で感染し拡散するため、従来の署名ベースのスキャン方法では、これらの脅威に対し十分な保護を提供することはできません。APT マルウェアは、長期間ネットワークに存在できるように設計されています。マルウェアからの通信は隠され、マルウェアの存在を示す証拠はすべて削除されるため、検出を逃れることができます。
APT Blocker は、フル システム エミュレーション分析を利用する登録サービスで、ネットワーク内に入り込んだファイルやメール添付ファイル内の APT マルウェアの特性や動作を特定します。APT Blocker は、ウイルス対策プログラムのような他の従来型のスキャナとは異なり、署名を使用しません。ネットワークに入ってくるファイルはスキャンされ、ファイルの MD5 ハッシュが生成されます。この MD5 ハッシュは HTTPS を介して APT Blocker のクラウドベースのデータセンターに送信されます。APT Blocker はこのファイルを解析済みファイルのデータベースと比較し、スキャン結果をすぐに返送します。この解析により既知のマルウェア脅威との一致が見つかった場合は、ファイルのブロック、ドロップ、検疫などの措置を直ちに講じることができます。ファイル解析の結果はローカル キャッシュに保存されるため、同じファイルが再度処理される場合は、ファイルの MD5 ハッシュをデータセンターに再度送信する必要なく、結果が直ちに判明します。
管理下のネットワークにローカルのオンプレミス APT Blocker サーバーを設置して、要求を送信することができます。大規模の企業ネットワークで、セキュリティやデータ プライバシー上の理由から APT Blocker サーバーをローカルに設置して使用している組織もあります。詳細については、APT Blocker の詳細設定を構成する を参照してください。
解析済みファイルの結果と一致しない場合、そのファイルは以前に扱われたり解析されたことがないことになります。そのファイルはデータセンターに送信され、次世代サンドボックス環境で綿密な APT アクティビティ解析を受けます。この分析はファイル転送と同時に行われます。APT Blocker からデータ センターに送信されたデータは、分析が完了すると自動的に削除されます。SMTP と IMAP プロキシ以外のプロキシでは、デバイスが分析結果を待機している間に接続が許可されます。結果が返送され、マルウェア アクティビティの証拠がファイル内に存在することが判明すると、Firebox はアラーム通知を生成することができます。APT Blocker アクティビティを監視する方法、およびレポートを使用して APT Blocker アクションを追跡する方法の詳細については、APT Blocker のアクティビティを監視する を参照してください。
APT Blocker スキャンの制限について
APT Blocker を使用するには、APT Blocker と Gateway AntiVirus を有効にするための機能キーが必要です。Gateway AntiVirus スキャン サイズの制限により、分析のために APT Blocker から送信されるファイルの最大サイズも制限されます。デバイスのモデルに応じて、既定のスキャン制限が異なります。それぞれのモデルのスキャン制限については、Gateway AntiVirus のスキャンの制限について を参照してください。スキャン制限の設定方法の詳細については、次を参照してください:Gateway AntiVirus のアクションを構成する。
APT Blocker は分割ファイルのスキャンおよび解析はできませんが、ほとんどのマルウェアは 1 MB 未満のファイル内に配信されます。ファイルはサイズが大きいほど、ウイルスのように素早く広がる可能性は低くなります。
APT Blocker では、最大 10 MB のサイズのファイルを分析することができます。Gateway AntiVirus スキャン制限が 10 MB 以上の値に設定されていると、APT Blocker では 10 MB 以上のファイルが分析されなくなり、「ファイル サイズが送信サイズ制限を超えています」というログ メッセージが生成されます。Fireware 12.3 更新 1 以降では、APT Blocker から10 MB より大きいファイルの MD5 ハッシュ値をクラウドベースのデータセンターに送信することができます。
サポートされているプロキシ ポリシー
APT Blocker は以下のプロキシ ポリシーのファイルをスキャンできます:
- HTTP プロキシ
- HTTPS プロキシ、APT Blocker がコンテンツ インスペクションに使用される HTTP プロキシ アクションで有効化されている場合
- FTP プロキシ
- SMTP プロキシ
- IMAP プロキシ
- POP3 プロキシ
SMTP および IMAP プロキシにおける APT Blocker の詳細については、次を参照してください:SMTP および IMAP プロキシの APT Blocker。
サポートされているファイルの種類
APT Blocker は以下のファイルの種類をスキャンできます:
- Windows PE (Portable Executable) ファイル
これには 32 ビットおよび 64 ビット バージョンの Windows オペレーティング システムで使用される .cpl、.exe、.dll、.ocx、.sys、.scr、.drv、および .efi の拡張子が付けられたファイルが含まれます。 - Adobe PDF ドキュメント
Fireware v12.7 以降では、詳細設定 で 分析用に PDF ファイルをデータ センターに送信する チェックボックスが選択されていない場合、認識されていない PDF が APT Blocker によってデータ センターに送信されることはありません。
- Microsoft Office ドキュメント
- リッチ テキスト形式 (RTF) ドキュメント
- Android 実行可能ファイル (.apk)
- Apple Mac アプリケーション ファイル (.app)
- 電子メール添付ファイルのみの JavaScript (.js) ファイル
- アレアハングルに関する文書 (.hwp) (韓国)
- ISO (.iso) ファイル
APT Blocker は、圧縮アーカイブ内のファイルも検査できます。APT Blocker は以下のアーカイブ ファイルの種類をサポートします:
- gzip
- tar
- zip
- rar
- 7z
APT Blocker は、ファイルの例外リストに追加されたファイルはスキャンしません。詳細については、ファイル例外を構成する を参照してください。
APT 脅威レベル
APT Blocker は、脅威の重大度に基づいて APT アクティビティを分類します。
- 高
- 中
- 低
- クリーン
高、中、および 低 脅威レベルは、マルウェアの重大度を示しています。この分類は、ファイルが APT Blocker によって解析される際に割り当てられたスコアによって決まります。高レベルは、解析でマルウェアの特性がより多く特定されたため、高いスコアを示します。これらすべての脅威レベルをマルウェアとみなし、既定アクションである ドロップ を使用することが推奨されます。
高、中、および 低 脅威レベル脅威レベルに対して、アクション (許可、ドロップ、ブロック、検疫) の割り当て、アラーム、通知、ログ記録の設定が可能です。
クリーン 脅威レベルは、開始時のファイル ハッシュ チェックまたは APT Blocker クラウド データ センターへのアップロードによりスキャン済みであり、マルウェアが入っていないと判断されたことを示しています。クリーン 脅威レベルは、既定で 許可 に設定されており、変更することはできません。クリーン 脅威レベルは、APT Blocker が分析したファイルで、クリーンでありマルウェアを含まないと判定されたもののステータスを追跡するのに役立ちます。クリーン ファイルのステータスをログできるよう、ログ チェックボックスが有効化されていることを確認してください。
WatchGuard は、すべての脅威レベルに対し、APT Blocker 構成で アラーム および ログ オプションを選択し、APT Blocker アクティビティを監視することをお勧めします。
APT Blocker を有効化および構成する
Firebox で APT Blocker を有効にするには、以下を実行する必要があります。
APT Blocker は Gateway AntiVirus と同じスキャン プロセスの一部です。プロキシ アクションで APT Blocker が有効になっている場合は、APT Blocker では、コンテンツが AV Scan アクションで構成されたプロキシ アクション ルールに一致する場合にのみコンテンツがスキャンされます。