脅威 ID 30419 (RFC2397 data URL scheme usage detected)

※この記事は以下の記事の日本語訳です。

Threat ID 30419 (RFC2397 data URL scheme usage detected)

https://live.paloaltonetworks.com/t5/Threat-Articles/Threat-ID-30419-RFC2397-data-URL-scheme-usage-d...

問題

本記事では、脅威 ID 30419 が検出された際にどのように調査を行えばよいか、またそのシグネチャが何を示すのかについて説明します。

JWPlayer のバージョン7以前のバージョンは、ビデオ配信の一部としてエンコーディングを施されたフォント データをホストに転送する動作をします。これは事実上、悪意のあるトラヒックではありませんが、使用されるエンコーディングのフォーマットによって本シグネチャがトリガされます。

詳細

本シグネチャは、HTMLのメッセージ本文内にBase64でエンコードされたアプリケーション データが存在するかどうかをチェックします。

幾つかのアンチウイルス製品や侵入防御システムは、エンコードされたデータがHTMLメッセージ本文にある場合にマルウェアを検知できない場合があります。 HTMLのレスポンス メッセージにおいてRFC 2397に記載されているエンコーディングを使ってエンコードされたデータが含まれている場合、これらの製品はスキャンに失敗します。Mozillaをはじめとする幾つかのブラウザではこのURLスキームをサポートするため、このエンコードされたデータも正常に表示することができます。すなわち、これはアンチウイルス製品や侵入防御システムを回避しつつブラウザを通してクライアントPCを攻撃できることを意味します。攻撃者はHTMLレスポンス内にdataスキームを使ってエンコードした悪意のあるコンテンツを配信することで、この脆弱性を突きます。

このシグネチャによる検知自体は、エクスプロイトがあったことを常に指し示すものではありません。本シグネチャで検知されるエンコードされたデータを含むHTMLレスポンスであっても、正規なものとして使われているということもあり得ます。

本シグネチャは、ネットワーク管理者がいつ事象が発生したかを知るために用意されています。それは該当トラフィックが回避手段として用いられている可能性がゼロではないためです。管理がこのシグネチャを不要と判断した際には、"許可"の例外設定をし、ログが生成されないようにすることも可能です。