こちらの図はOPSWAT社のコミュニティによせられた疑わしいアーカイブファイルを調査した際の結果です。列の左側は、一般的に行われるマルウェアスキャンの手法で、アーカイブファイルを展開せず、アーカイブファイルのまま全体をスキャンした際の結果、右側が同じアーカイブファイルを展開し、マルウェアスキャンを実施した結果を示しています。

OPSWAT社データ提供

表の左列、0/36というところは、36種類のアンチマルウェアエンジンでアーカイブファイルをスキャンした結果、マルウェアを検出したエンジンは0個であったことを示しています。

逆に表の右列である x/36は、同じ36種類のアンチマルウェアエンジンで同じアーカイブファイルを展開してからファイルをスキャンしたところ、縦列にそれぞれ、9種類、11種類、8種類、9種類のアンチマルウェアエンジンがマルウェアを検出したことを示しています。

アーカイブファイルを展開せずにそのままスキャンすることは、高速にファイルを処理をできるメリットがあるのですが、その反面として、同じ検出力をもつマルウェアエンジンでスキャンをしたとしても、マルウェアの検出に関しては懸念が残ることがわかります。また、表の右列より、アンチマルウェアエンジンにしても、同じ検体に対して、検出できるエンジン/検出できないエンジンがあり、複数のエンジンを組み合わせてマルチスキャンを行うことの重要性が理解できます。

アーカイブファイルでなければ、安心！？
実はそのファイルも複数ファイルの集合体です。

 普段利用することが多いオフィスファイル、例えばパワーポイントファイルであるpptxの拡張子を変更して展開してみると、いくつものファイルの集合体であることがわかります。

会社紹介.pptxの拡張子を.zipに変更します。

会社少会.pptxを会社紹介.zipへ変更したところです。

会社紹介.zipファイルの中を展開するとpptxファイルは、多くのフォルダやファイルで構成されていることがわかります。

OPSWAT社MetaDefenderならアーカイブファイルを展開＆マルチスキャニングを実施！徹底的にマルウェアを洗い出します。

MetaDefenderはマルウェアのスキャンを行う前に、アーカイブエンジンでそのファイルを展開。展開したファイルを複数のアンチマルウェアエンジンで徹底的にスキャンを行い、隠れたマルウェアを検出します。こちらはOPSWAT社MetaDefenderがサポートするアーカイブファイルの一覧ですが、現在30種類以上のアーカイブファイルに対応しており、現在も対応ファイルを追加中です。

資料提供：OPSWAT社

また、我々が気になるオフィスファイルにもしっかり対応しております。こちらはMetaDefenderのパラメータですが、オフィスファイルをきちんと展開して、マルチスキャンを実施するかどうかを設定できます。(赤枠部)　この機能とOPSWAT社が提供するDeep CDR（高度なデータ無害化）機能を組み合わせることにより、オフィスファイルの利用に関して、信頼感を大幅に向上させることができます。

PS　　お気付きの方も多い方と思いますが、Archive bomb/Zip bomb 対策に関しても、上記パラメータ内のMax recursion levelやMax number of files extracted、Max total size of extracted filesにて対応できます。