【対岸の火事ではない高度なサイバー攻撃】 PDFなら安全は本当か?海外データから読み解く危険性
目次[非表示]
PDFなら安全!?実は大きな落とし穴が・・・
図1 OPSWAT社の調査によるファイルタイプのマルウェアの種別割合い
図2 被疑PDFファイルのスキャン結果( https://metadefender.opswat.com/reports/sanitization#!/ )
インターネットサイトからダウンロードしたPDFファイル、メールに添付されているPDFファイル、PDFなら安心と思ってむやみに開いていないでしょうか!?
図1の円グラフはOPSWAT社のユーザやコミニティメンバーから寄せらせた被疑ファイルのうち、ファイルタイプのマルウェアがどのようなファイル種別に含まれていたかの割合を示したものです。こうしてみるとPDFファイルに埋め込まれたマルウェアは、報告された被疑ファイルのうち、全体の半数以上にのぼっていることがわかります。
また図2は、疑わしいPDFファイルのスキャン結果です。左側の赤枠で囲まれたところがファイル名、右側の赤枠で囲まれたところが、複数のアンチマルウェアエンジンでスキャンした際に、何かしらの脅威を含んでいると判定したエンジン数です。例えば今回の例ですと、安全と認識されることの多いPDFであっても、35個のアンチマルウェアエンジンでスキャンした結果、14個のエンジンはマルウェアに感染しているという判定をしています。つまり、インターネットサイトからダウンロードしたり、組織外からメールの添付ファイルとして受信したPDFファイルであっても開く際には注意する必要があります。
アンチウィルスエンジンを入れていれば安心!?・・・過信は禁物です
図3 myCV.pdfのスキャン結果
図3は先ほど例にあげた”myCV.pdf”を複数のアンチマルウェアエンジンでスキャンした結果の詳細です。下の赤枠は左から順番にアンチマルウェアエンジンの名前、そのエンジンのウィルス定義が更新された日付、スキャンした結果として感染していると判定した根拠を示しています。
このように一言でアンチマルウェアエンジンといってもグローバルでは複数のベンダーがエンジンを開発・提供しており、ウィルス定義が更新されるタイミングもバラバラで、判定する根拠や結果も異なります。そして、今回のようにたとえ35種類のアンチマルウェアエンジンでスキャンを行っても、14種類のエンジンだけが感染しているファイルであると判定し、残りのエンジンは脅威とみなさず、組織内へ通してしまいます。アンチマルウェアエンジンと言っても一概に全てのマルウェアを検出しているわけではない点は見逃しがちなポイントです。
安全にPDFを取り込むには?~データ無害化の有効性~
図4 myCV.pdfを無害化処理した後のスキャン結果
ではどうしても必要なPDFファイルを実際に組織内に取り込むにはどうしたらよいでしょうか。上の図の左側の赤枠部分はこのPDFファイルに対し、データ無害化処理をおこなったあとにマルチスキャンを行った結果です。データ無害化はファイルに含まれる脅威情報を取り除く処理ですが、OPSWAT社のデータ無害化はCDR(Contents Disarm and Reconstruction)と呼ばれ、ファイルを再構築することによりさらに安全性を高める手法が使われています。
データ無害化処理後の"myCV.pdf"は、35種類の全てのアンチマルウェアエンジンにおいて脅威は検出されませんでした。この結果より、データ無害化はPDFファイル等に含まれる脅威に対して非常に有効な手段であると言えます。ただし誤解が無いように補足しますと、データ無害化には無害化処理できるファイル種別に制限があります。これだけでは不十分ですので、アンチマルウェアエンジンとの組み合わせは必須です。
複数のアンチマルチウェアエンジンを組み合わせる!?
~マルチスキャンの有効性~
図5 上位から1万種類をマルチスキャンした結果( https://metadefender.opswat.com/reports/statistics#!/1 )
上の図5は、OPSWAT社が前月にグローバルで猛威を振るったマルウェア上位1万種類を複数のアンチマルウェアエンジンでスキャンをした結果をWeb上で公開しているものの抜粋です。左側の赤枠の数字はアンチマルウェアエンジンの数、4であれば4種類、8のところは8種類を表しており、右側の赤枠はその複数のエンジンでスキャンした際の検出率です。これをみますと、スキャンするアンチマルウェアエンジンの数が増えれば増えるほど、グローバルで猛威を振るっているマルウェアの検出率が上がることがわかります。逆の見方をすると、1種類のアンチマルウェアエンジンではマルウェアを見逃してしまう危険性があることを示しています。
複数のアンチマルウェアエンジンを組み合わせて使用することは、日本ではまだあまりなじみのない概念ですが、海外ではマルウェアに対する施策として”マルチスキャン”という考え方が普及しており、アメリカ国立標準技術研究所(NIST:National Institute of Standards and Technology)のマルウェア対策のガイドラインにも記述されています。
データ無害化+マルチスキャンが2020年に向けたスタンダード!
最後にまとめとなりますが、たとえPDFファイルであっても何かしらの脅威を含んでいる可能性があり、無条件に組織に取り込むのは非常に危険です。そこで有効なのがデータ無害化ですが、全てのファイルに対応できるわけではありません。必ずアンチマルウェアエンジンと組み合わせることが必要となりますが、海外では1種類のアンチマルウェアエンジンではなく、複数ベンダーのエンジンを組み合わせるマルチスキャンという手法が推奨されています。インターネットは世界の国々と垣根無くリアルタイムでつながり、素晴らしい恩恵を与えてくれる反面、利用者側にもグローバルスタンダードの運用や対策が求められます。来年は2020年となり、オリンピックの年です。現状では日本のサイバーセキュリティへの投資は欧米に比べまだまだ低いという調査結果もあり、日本のICTシステムを狙ったサイバー攻撃が増えることも予想されます。2019年、我々もグローバルを見据えたICTシステムの運用やセキュリティ施策が必要とされる年になりそうです。