3月に、鹿児島の国分生協病院が、ランサムウエアの攻撃受け「画像管理サーバー」に障害が発生し、診療記録のPDFが暗号化されるなどの大きな被害発生しました。また、先日発表された警察庁のデータによると令和5年に警察が確認したランサムウェアの被害は197件でした、相変わらず高数字を示しており、これは警察へ報告が寄せられた集計に過ぎません。故に報告をされていない数を含めるとさらに被害が拡大しており、氷山の一角ではないかと想像されます。
前回解説したとおり、ライフサイエンス業界を含む、多くの医療機関や製薬企業は未知のマルウェアやゼロデイ攻撃を防ぐことが難しい現状を踏まえ、EPP*1やEDR*2などの検知によるリアクティブな対策が主流となっております。つまり、未知のマルウェアやゼロデイ攻撃からの攻撃や感染を防ぐことが出来ないので、万一感染した場合には、如何にして被害を最小限に留め、復旧を迅速におこなうことを主眼を置くリアクティブなアプローチです。一方、OPSWAT社は、検知に頼るのではなく脅威そのものを除去するアプローチで、未知のマルウェアやゼロデイアタックを防ぐこと実現しております。
そのコア技術がDeep CDR((Deep Content Disarm and Reconstruction)無害化)と呼ばれる技術になります。それでは、Deep CDRとはどんな技術なのでしょうか。また、Deep CDRを利用してどのようにして脅威を除去するのでしょうか。Deep CDRは、WordやPDFなどのファイルに内在するマルウェア等の悪意のあるプログラムやスクリプト*が埋め込まれている可能性のある部分を強制的に削除するアプローチになります。これは、悪意のある部分のみを取り除きそれ以外の部分は、残すことによりユーザーからの見た目を損なわないで脅威を除去を実現する技術です。
身近な例を用いて説明しますと、空港でセキュリティゲートを通過するイメージです。まず、空港自体には、様々に人が行き来しますが、空港の出発ターミナルに入る前に、先ずパスポートや航空券を提示し、その後持ち物を身体から外し、最後に金属探知機を通過して、初めて、出発ターミナルに入ることができます。つまり、危険因子を出発ターミナルに持ち込まないために、書類の確認やセキュリティゲートを通過することで、安全な人のみを出発ターミナルに入れること、つまり、この処理の動きがDeep CDRになります。
それでは、具体的にDeep CDRの技術を深掘りしてみたいと思います。
上記のとおり安全なファイルにするためには、WordやPDFなどの未知のファイルの中身を確認する必要があります。まず、ファイルのコンテンツ自体を分析し、中身をそれぞれのパーツ毎に分解します。例えば、Wordファイルを例にとると、文章、画像、ハイパーリンク、更にワードに貼り付けられたエクセル表のようなOLEオブジェクト*などの階層を含め、パーツ毎に完全に分解します。その上で、悪意のあるプログラムやスクリプトが埋め込まれている可能性のある脅威要素(例:DDE*3やCVE*4)を完全に取り除き、また、それ以外の文章、画像、ハイパーリンク、更にワードに貼り付けられたエクセル表などの全てを元の状態に戻します。
余談となりますが、画像ファイルに悪意のマルウェアが埋め込まれているケースもあります。画像ファイルにプログラムを埋め込むこと自体をステガノグラフィといいますが、例えば、画像データの中に別の情報を埋め込んで隠ぺいする技術を指し、この技術を応用した例として、「電子透かし」などがありますが、このステガノグラフィを悪用して画像ファイルにマルウェアを混入させる攻撃も散見されます。更に、現在ではQRコードや動画ファイルに埋め込むケースもあります。Deep CDRの技術を使えばこのように高度に隠蔽されたマルウェアからの被害も未然に防ぐことができます。
執筆者について
経歴 ※このプロフィールは掲載記事執筆時点での内容となります
コメント
/
/
/
コメント