インテリジェント ウェイブ(IWI)は2022年1月21日、ファイル無害化ソフトウェア「Resec」(開発元:イスラエルReSec Technologies)のマクロ判定機能を同日付で強化したと発表した。安全なマクロの場合は、マクロ機能を削除することなく活用できるようになった
ReSecは、ファイル無害化ソフトウェアである(関連記事:インテリジェントウェイブ、ファイル無害化ソフト「ReSec」のマクロ判定機能を強化)。メールやWebダウンロード、ファイル共有などを介して社内に取り込むファイルを対象に、ファイルに含まれるマルウェアを無害化する(図1)。
図1:ReSecの概要(出典:インテリジェントウェイブ)拡大画像表示
具体的には、URLリンク情報のチェック、マクロの削除、ウイルス対策エンジンによる既知のマルウェアの削除、ファイル無害化(ファイルを構成する上で必要のない要素を廃したファイルをレプリカファイルとして生成)、などを施す。ファイルが暗号化されていた場合は、エンドユーザーに復号パスワードを入力させ、エンドユーザーの代わりにResecがファイルを復号する。
今回、マクロの判定機能を強化した。ファイルにマクロが含まれていた場合に、マクロが安全かどうかを判定するようにした。安全なマクロと判定できた場合は、マクロ機能を維持したまま活用できるようになった。これに対して従来のマクロ対策機能は、善悪問わずマクロを全てブロックするか、全マクロを許可するかの選択しかできなかった。
全マクロをブロックするとマクロ機能が使えなくなるため、業務効率の観点で課題があった。実際に、国内の大手金融系企業から「業務で利用するマクロ機能を維持したまま、ファイルを無害化したい」という要望を受けたため、開発元と協議してマクロ判定機能を追加した形である。
今回追加したマクロ判定機能は、攻撃に使われるマクロスクリプトを検知して削除する。別プロセスを生成するマクロや、ファイルシステムやネットワークにアクセスするマクロである。このように、ファイル外にアクセスするマクロは、外部からマルウェアをダウンロードしたり、ランサムウェアによる攻撃を助長したりする可能性があるため、標準設定で削除する。設定変更によって、一部リソースへのアクセスを許容する運用も可能である。
