Box Status
印刷

悪意のあるコンテンツの検出ルール

Threat Detection Rule , Malicious Content Detected

悪意のあるコンテンツの検出ルールは、Box Shield内の機能です。 これは、Boxにアップロードされている悪意のあるファイルを特定し、ユーザーが危険なコンテンツをダウンロードすることを防ぎます。

悪意のあるコンテンツの検出ルールは、管理対象ユーザー外部ユーザー、匿名ユーザーからアップロードされたファイルをスキャンします。

マルウェアスキャンの種類

Box Shieldでは、悪意があると判定されたすべてのファイルにメタデータテンプレートが適用されます。 Box UIでアラートが生成され、管理者が検出ルールを有効にする際に [Boxイベントストリームにアラートを発行する] を有効にした場合は、追加のアラートイベントも生成されます。 スキャンされ、安全と判定されたファイルについては更新を提供しません。

  評価スキャン ディープスキャン
スキャンの種類

ファイルハッシュを、30以上の主要なマルウェアスキャンベンダーが提供する既知のマルウェアライブラリ内のハッシュと比較します。

ハッシュがマルウェアライブラリのいずれかで特定された場合、悪意があると判定されます。

ファイルを再帰的に展開して、不審な兆候となるものを識別し、より高度なマルウェアを特定します (静的解析スキャンの一種)。

スキャンは、すべてのアクティブなコンテンツに拡張されます。つまり、これまでにスキャンされていない企業のファイルは、次のプレビュー、共有、ダウンロード、または編集時にマルウェアスキャンが開始されます。

管理対象ユーザーがアクセスする外部ファイルをスキャンして、サードパーティによるリスクを軽減します。
スキャンが開始されるタイミング
  • ファイルのアップロード
  • 別のBox環境へのファイルの移動またはコピー
  • ファイルがダウンロード処理に基づいて定期的に再スキャンされるとき。 これにより、さまざまなマルウェアライブラリの新しいシグネチャが含まれる可能性のあるファイルに対してより適切なスキャンカバレッジが提供されます。
  • ファイルのアップロード
  • ファイルのダウンロード
  • ファイルのプレビュー
  • ファイルの共有
  • ファイルのコピー
  • ファイルの移動
サポートされるファルサイズ すべてのファイルサイズをサポート 最大200 MBのファイル
サポートされるファイルの種類 すべてのファイルの種類をサポート マルウェアディープスキャンでサポートされるファイルの種類を参照

悪意のあるコンテンツの検出ルールの作成、編集、削除

この検出ルールを有効にするには、Box Shieldアドオンが有効になっているアカウントで管理者権限 (または [会社のShield構成を作成、編集、削除] 権限を持つ共同管理者権限) が必要です。

: 各Boxアカウントに対して作成できる悪意のあるコンテンツの検出ルールは1つのみです。

一連の手順を説明したガイドについては、脅威検出ルールの作成、編集、削除の手順ガイドについては、Boxのサポートページを参照してください。 悪意のあるコンテンツ固有の設定については、以下を確認してください。

悪意のあるコンテンツ固有の設定

Microsoft Officeファイルのディープスキャンのフィルタ

これを有効にすると、Box Shieldは、Microsoft Officeファイル (.docx、 .xlsx、.pptxファイルなど) に対してディープスキャンを実行し、悪意のあるペイロードを検出できます。 デフォルトでは無効になっています。

ダウンロードの制限

これを有効にすると、悪意のあるコンテンツを含むことが判明したファイルのダウンロードが制限されます。 プレビューとオンラインでの編集は引き続き可能です。 デフォルトでは無効になっています。

  • ディープスキャンと評価スキャンまたはそのいずれかの結果に基づいてダウンロードの制限を適用するかどうかを選択できます。
  • 有効にすると、選択したスキャンの種類によって悪意があるとフラグが設定されたファイルには、Box Shieldによって自動的にダウンロードの制限が適用されます。 これにより、エンドユーザーは自分のデバイスにそのファイルをダウンロードできなくなります。

悪意のあるコンテンツのアラート

悪意のあるコンテンツが検出されると、Shieldダッシュボードにアラートが表示されます。

アラートには、アラートID、日付、アラートの原因になったアクティビティを行ったアカウント所有者の名前とメールアドレス、リスクスコア、アラートの原因になったアクセスが行われたIPアドレスが含まれます。

アラートの詳細を確認するには、次の手順に従います。

  1. [管理コンソール] > [Shield] に移動します。
  2. [ダッシュボード] タブをクリックします。
  3. (省略可) アラートに [悪意のあるコンテンツ] でフィルタをかけます。
  4. アラートの一覧表で、アラートをクリックします。
  5. アラートの詳細ページが表示されます。

アラートの詳細ページには、次の内容が表示されます。

  • アラートの概要: アラート名、アラートID、アラートタイプ、リスクスコア、アラートの作成日、設定されているダウンロード制限、悪意のあるファイルのアップローダー、アップロード場所を含むアラートの概要。
  • ファイルの詳細: ファイル名、ファイルバージョン、ファイルハッシュ、ファイルサイズ、バージョンのアップロード日、ファイルの作成日、最終更新日に関する情報。
  • 脅威の詳細: ディープスキャンと評価スキャンの結果 (スキャンされた場合) およびマルウェアのファミリと説明。
  • 地域別のアクティビティ: アラート発生時に当該アカウントのアクティビティが行われた場所。
  • アップローダーアクティビティ: アクティビティタイプ別に要約したアラート発生時の当該アカウントのアクティビティ。
  • ファイルアクティビティ: アップロードされた後のファイルのインサイト。
  • 安全なファイルとしてマーク: 管理者は、フラグの設定されたファイルを「安全」としてマークできるようになります。詳細については、安全なファイルとしてマークを参照してください。
  • 悪意のあるファイルに戻す: 管理者が以前にファイルを安全としてマークした場合に利用できます。
  • ファイルの変更: ファイルが安全なファイルとしてマークされた場合または悪意のあるファイルに戻された場合、ファイルの詳細には、コメント前回の変更を示す2行が追加されます。

: 過去1週間のアラート数は、[検出ルール] ページから確認できます。 さらに長い期間については、Shieldダッシュボードを確認してください。

ダッシュボードでは、アラートの後にフィードバックボックスが表示されます。 これを使用すると、機能の改善に役立つ提案やコメントをBoxに提供できます。

エンドユーザーへの影響

  • コンテンツのアップロード時に悪意のあるペイロードが検出されると、エンドユーザーに警告するための赤いバナーがプレビューページの上部に表示されます。
  • Shieldのマルウェアディープスキャンメタデータがコンテンツに追加され、悪意のあるコンテンツとしてフラグが設定されます。
  • ダウンロードの制限が有効な場合、エンドユーザーは、デスクトップアプリケーションでファイルをダウンロードすることも開くこともできません。 プレビュー、共有、編集は引き続き可能です (Microsoft Office Online、Google Workspaceなどのオンラインエディタを使用)。
    • ファイルが安全なファイルとしてマークされると、ファイルの制限は解除され、デスクトップアプリケーションでファイルをダウンロードすることも開くことも可能になります。
    • ファイルが悪意のあるファイルに戻されると、ファイルの制限が元に戻り、デスクトップアプリケーションでファイルをダウンロードすることも開くこともできなくなります。

アラートの処理と是正

この検出ルールでは、悪意のあるファイルが特定された場合に以下の処理を実行できます。

ダウンロードの制限

自動ダウンロードの制限は、検出ルールの構成ページから適用できます。

この制限により、エンドユーザーは、(Microsoft Office Online、Google Workspaceなどのオンラインエディタを使用した) プレビュー、共有、編集が可能ですが、ユーザー/組織に危害を加える可能性のあるファイルをダウンロードできなくなります。

誤検出判定の処理

すべてのマルウェアスキャンソリューションでは誤検出が発生する可能性があり、Shieldの悪意のあるコンテンツの検出ルールも例外ではありません。 Shieldチームは、顧客基盤全体における検出のパフォーマンスを継続的に評価し、可能な限り更新して有効性を改善しています。 悪意のあるコンテンツのアラートを確認する際は、以下の点を確認すると役立ちます。

  • 脅威が評価スキャン、ディープスキャン、またはその両方で報告されているかどうか
  • 報告された優先順位
  • ファイルの種類
  • ファイルをどこから取得したか
  • ユーザーがファイルを入手しようとしていたかどうか
  • ファイルの送信者を知っているかどうか

各種検出による判定は別々に検討する必要があります。

  • 評価スキャンによる悪意があるという判定は、誤検出が非常に稀であるため、調査が必要です。 評価スキャンでは、ファイルのハッシュと既知のマルウェアライブラリ内のハッシュが比較されます。 一致が見つかった場合、判定が誤検出である可能性は低くなります。 これらの判定は、優先度が高いものとして処理する必要があります。
  • ディープスキャンによる悪意があるという判定も調査する必要がありますが、評価スキャンと比較すると誤検出の可能性が高くなります。 ディープスキャンでは、ファイルをアンパックしてファイル内のさまざまな要素を分析します。特定の指標が組み合わさって悪意を示す可能性がありますが、ファイルの目的を十分に確認できるのは、ファイルの作成者/所有者のみです。

特定のファイルについてより詳細な分析が必要な場合は、アラートのページで [プレビュー] ボタンをクリックすると、そのファイルをコンテンツマネージャで開くことができます。 ここから、ファイルをさらに分析するためにサンドボックス環境にダウンロードできます。

安全なファイルとしてマーク

ファイルに悪意があるというフラグが設定されていても、安全であると考えられる場合は、Shieldの管理者が [悪意のあるコンテンツ] アラートのページ内で安全なファイルとしてマークできます。

この操作により、ファイルに対して有効なダウンロードの制限がすべて解除され、エンドユーザーのファイルのプレビューページに表示されるマルウェアのバナーが削除されます。

悪意のあるファイルとしてマークする前に、判定を覆す決定を記録するためのコメントが求められます。 必要に応じて、ファイルを元の悪意があるという判定に戻すオプションを利用できます。

マルウェアディープスキャンでサポートされるファイルの種類

マルウェアディープスキャンでは、普段使っているファイルの種類よりもリスクが高い可能性のある別の数種類のファイルが自動的に分析されます。また、必要に応じて、Microsoft Officeファイルが分析される場合もあります。 このセクションには、ディープスキャンが可能なファイルの種類の一部を示します。

ファイルのカテゴリ ファイルの種類
圧縮/アーカイブファイル .7z、.bz2、.gzip、.jar、.rar、.tar、.tar.bz2、.tar.gz、.tar.z、.xar、.zip
実行可能ファイル .bundle、.dll、.dylib、.elf (Intel 80386、80360、AMD x86-64向けにコンパイルされたELF 32およびELF 64)、.exe、Mach-O 32、Mach-O 64、Mach-O ARM、Mach-O FAT、.o、.ocx、PE 32、PE 64、scr、.so、.sys
ドキュメントファイル .doc、.docm、.docx、.hwp、.jdt、.mht、.pdf、.ppt、.pptm、.pptx、.rtf、.sylk、.xls、.xlsm、.xlsx
グラフィックファイル .tiff
ディスクイメージファイル .dmg (AppleDisk、KolyDMG、GPTDisk、HFSPlu)、ISO9960
その他のファイル EICAR、.lnk、.msg、.otf、.ttf

 

関連記事