WildFireによる電子メールに含まれるリンクの処理方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How does WildFire handle links within emails?

https://live.paloaltonetworks.com/t5/Threat-Articles/How-does-WildFire-handle-links-within-emails/ta...

 

 

ファイアウォールから電子メール リンクを受信すると、WildFireは各リンクを実際に訪れ該当のウェブページが悪意のあるコンテンツを含んでいるかどうかを判断します(単にエクスプロイトかどうかをチェックするだけではありません)。もしWildFireがそのページ自体を無害だと判断すれば、ログは生成されません。

 

逆に、もしそのページが悪意のあるものだと判断されれば、malicious という判定が下され、かつ以下の処理が行われます:

  • 詳細な解析レポートが生成され、リンクを転送したファイアウォールにおいてWildFireへの送信ログ(WildFire Submission log)が記録されます。このログにはセッション情報と電子メールのヘッダ情報(電子メール送信者、受信者、件名)が記録されるため、メッセージを特定しメール サーバーから該当メールを削除したり、受信者を特定することで仮にその電子メールが通過し開かれたとしても脅威の影響を最小限にとどめることができるようになります。
  • 該当URLがPAN-DBにマルウェア カテゴリとして追加されます。

ファイアウォールは電子メールに含まれるリンク数が100に達した際にまとめてWildFireに転送します。また、100に達していなくても2分毎に転送を行います。ファイアウォールではプラットフォーム毎に1分間にアップロードできる上限が決まっていますが、このまとめて行われる転送(バッチ アップロード)は1回のアップロードとしてカウントされます。

 

WildFireは電子メールに含まれるリンク先からダウンロードしてきたファイルを解析しますか? 

この場合、WildFireはファイルの解析を行いませんが、仮にユーザが実際に電子メールに含まれるリンクをクリックしファイルのダウンロードが発生した場合は、ファイアウォールは設定に基づきそのファイルをWildFireに転送します。

 

ファイアウォールが電子メール リンクを転送しているかどうかはどのように確認できますか。

以下のコマンドで確認できます。

admin@PA-200> show wildfire statistics

 

コマンド結果に表示される email-link カウンタの箇所を参照してください。

 

電子メール リンクが送られると、以下のカウンタがカウントされます。

– FWD_CNT_APPENDED_BATCH—電子メール リンクがバッチに追加された数を表示します。なお、バッチはまだWildFireへのアップロード待ちの状態です。

– FWD_CNT_LOCAL_FILE— WildFireへ送信された電子メール リンクの総数を示します。

 

ファイアウォールは画像ファイルをWildFireに送信しませんが、今回のようにURLをWildFireに送信した場合、ウェブページが動的に解析される事になります。そのため、悪意のあるコンテンツを含む画像が存在するウェブページを開いた際には、WildFireは動的に解析を行いそのコンテンツから判定結果を導き出します。