PDFマルウェアの脅威と、Salesforceをそれから守るための対策

しかし、希望の光はあります。事前の対策を講じれば、SalesforceをPDFマルウェアから無防備なままにしておく必要はありません。本記事では、デジタル空間の霧を切り裂き、サイバー犯罪者がどのようにPDFを悪用しているかを明らかにするとともに、WithSecure Cloud Protection for Salesforceがこうした隠れた脅威をどのようにブロックするかを解説します。

悪意のあるファイルが潜む危険

サイバー犯罪者は、マルウェアと呼ばれる悪意のあるソフトウェアを、一般的なファイル形式の中に巧妙に隠しています。マルウェアは、コンピュータシステムやネットワークを混乱させたり、損傷を与えたり、不正アクセスを行ったりする可能性があります。

マルウェアの様々な形態：

• ウイルス： ファイルに付着し、悪意のあるコードを拡散させる有害なプログラムです。
• ワーム： 人間の介入を必要とせず、ネットワーク内を自ら移動して増殖するマルウェアです。
• トロイの木馬： 無害なソフトウェアを装ってユーザーを欺き、マルウェアを展開します。
• ランサムウェア： データを人質に取り、身代金が支払われるまでネットワークを機能不全に陥らせます。
• スパイウェア： ウェブ上の行動履歴やキー入力など、個人データを密かに収集します。
• アドウェア： 広告を表示して煩わしいだけでなく、ユーザーの活動をスパイする可能性もあります。
• ルートキット： 攻撃者にシステムへの深いアクセス権を密かに与え、その痕跡を隠します。
• キーロガー： キーストロークを密かに記録し、パスワードやその他の機密情報を盗み出します。

Salesforceにおけるファイルベースの脅威の感染経路

Salesforceクラウドのデジタルトランスフォーメーションの道のりは、イノベーションとリスクをもたらします。新たに導入されるサイバー攻撃の標的となる領域は、従来のセキュリティプロトコルの範囲外にあることがよくあります。

隠蔽に長けたマルウェアは、通常は見知らぬ送信者から送られてくるメールの添付ファイルやフォーム送信に含まれるPDFを介して、システムに侵入することがあります。

危険が生じるのは、ユーザーが、ソーシャルエンジニアリングの手口で誘い出された、未確認の送信元からの怪しいリンクやファイルを操作したときです。

悪意のあるPDFの台頭

1992年にアドビによって開発されたPDFは、マニュアルから契約書、請求書に至るまで、デジタル文書として広く普及しています。PDFに対するこの広範な信頼こそが、ハッカーが脅威を隠蔽するために悪用するものです。

パロアルトの2023年の調査によると、電子メールの添付ファイル型マルウェアの66.6%がPDFを介して配信されていました。

さらに、VirusTotalのマルウェア動向レポートによると、PDFを介したマルウェアの配布は最近500%急増しています。VirusTotalの報告通り、新しいファイル形式や検知回避技術が絶えず出現しており、PDFはこうしたトレンドの最前線にあります。

PDFがもたらす深刻な脅威

現代のデバイスに組み込まれたPDFリーダーにより、PDFは至る所に存在する脅威の媒介となっています。攻撃者は、ユーザーがPDFに対して抱く信頼を悪用して攻撃を開始します。フォームやマルチメディア要素といったPDFの動的かつインタラクティブな機能は、マルウェアの潜在的な経路となります。

PDFはJavaScriptを実行可能であり、これはマルウェアを拡散させる一般的な手法です。また、標準的なウイルス対策ソフトの検出を回避する埋め込みオブジェクトや暗号化されたオブジェクトを格納することも可能であり、重大なセキュリティリスクをもたらします。

悪意のあるPDFの無力化

様々なチャネルを通じてSalesforceにアップロードされる外部のPDFは、厳重に精査する必要があります。Salesforceには組み込みのマルウェアスキャナーがないため、サードパーティ製ソリューションが不可欠となります。Salesforce AppExchangeには、WithSecure Cloud Protection for Salesforceなど、この役割を果たすネイティブアプリが用意されています。

今日の複雑なIT環境においては、Salesforceのような侵入経路と、ノートPCのようなエンドポイントの両方を強化する、多層的な防御戦略を展開することが賢明です。

適切なウイルススキャナーの選定

すべてのアンチウイルススキャナーが同等の性能を持つわけではありません。高度なPDFマルウェアに対抗するには、シグネチャベースのスキャンを超えた、行動分析などの高度な検出手法が必要です。実行ファイルがPDFを装うファイルタイプのなりすましは、より高度な脅威防御システムによってのみ検出可能です。

新たな脅威への注目が高まる一方で、従来のマルウェアも依然としてデジタル空間に潜んでおり、包括的なセキュリティ戦略の一環として、堅牢なシグネチャベースの検出が不可欠です。

WithSecure Cloud ProtectionがSalesforceをPDFの脅威から守る仕組み

Salesforce Service Cloudを備えたSalesforce環境を想像してみてください。このプラットフォームは、デジタルでの顧客エンゲージメントの要であり、クライアント、パートナー、そしてチーム間の円滑なコミュニケーションを促進します。

カスタマーサポートの中核となるのが、Web-to-Caseフォームです。これは、Salesforceスペースへのファイルアップロードを可能にする重要なツールです。

ここで、サイバー攻撃者がこのフォームを通じてフィッシング攻撃を仕掛けている様子を想像してみてください。攻撃者は、一見無害なPDFファイルを添付します。表向きはサポート問い合わせの一部であり、請求書が添付されているように見せかけます。しかし、このファイルにはマルウェアが潜んでいます。

Salesforceへのアップロードが完了すると、WithSecure Cloud Protectionは即座にマルウェア検査を開始します。リアルタイムの脅威インテリジェンス、機械学習、ヒューリスティック手法を駆使した多層的な分析を用いて、システムは精査を開始します。

初期分析では、ファイルのシグネチャを既知の脅威と比較します。ファイルが認識できず、そのシグネチャが記録にない場合、システムは検査を一段階強化します。

その後、PDFはWithSecure Security Cloud内でより詳細な動作分析を受けます。この詳細な調査により、PDF内に埋め込まれた隠された実行ファイルが発見されます。

この隠された脅威は、Lockyランサムウェアファミリーの一種であると特定されました。このファミリーは、マクロをPDF内に隠蔽することで従来のアンチウイルス対策を回避することで悪名高いものです。このランサムウェアは、ユーザーのシステムを乗っ取るよう設計されており、デスクトップの背景を変更して身代金要求メッセージを表示し、支払いを条件にファイルを復号化する方法について指示を出します。

セキュリティ侵害を防ぐため、ファイルは直ちにSalesforce内で隔離され、無害なテキストファイルに置き換えられました。これにより、サポートスタッフによる誤った起動を未然に防ぐことができました。

同時に、そのファイルにアクセスしようとしたSalesforceユーザーには、ブラウザ上に警告メッセージが表示され、潜在的な脅威について通知されます。このメッセージは、組織のコミュニケーションスタイルに合わせてカスタマイズ可能です。
バックグラウンドでは、管理者に脅威の存在が通知され、アップロード日時やアップロード者の身元など、不審なファイルに対するユーザーの操作履歴を記録した詳細なフォレンジックレポートが提供されます。

侵害されたファイルは Salesforce 環境全体で予防的にブロックされるため、手動による介入は不要です。

脅威に先手を打つ

PDFファイルがもたらす潜在的な危険性を見逃さないでください。特にSalesforceでは、アップロードされるすべてのファイルを必ずスキャンするようにしてください。ウイルス対策ソリューションを選ぶ際は、包括的な脅威検知技術を採用しているものを選択してください。自動化されたリアルタイムのソリューションを導入し、多層的な防御戦略を採用することで、デジタル環境全体を保護しましょう。

重要なポイント

• PDFファイルは、マルウェアを潜ませた偽装媒体となり得ます。
• Salesforceはデフォルトでは、PDF内のマルウェアをスキャンしません。
• 堅牢なアンチウイルスで、すべてのアップロードファイルをスキャンすることが不可欠です。
• シグネチャベースおよび行動分析機能を備えたアンチウイルスソリューションを選択してください。
• 自動化された防御機能を活用し、脅威に迅速に対処してください。
• システムとの互換性とパフォーマンスの観点から、Salesforceネイティブのツールが最適です。
• Salesforceと関連デバイスの両方を保護するために、多層防御戦略を信頼してください。