Threat Artifact とは何か
search cancel

Threat Artifact とは何か

book

Article ID: 234796

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

解析のため、感染が疑われるファイルを Symantec Security Response に検体として提供した。その結果、ファイルは "Threat Artifact" で "not malicious itself, but may be an artifact of a threat" という回答があった。 "Threat Artifact" とはどのようなものか知りたい。

Resolution

Threat artifact と判断されたファイルは、単体では悪意を持った動作をするようなものではなく、シマンテックの検出の要件には一致しないため検出対象ではありません。ただし、おそらくは何らかの脅威がその環境に存在していた、あるい脅威による攻撃が行われたことを示唆するものです。

Threat Artifact という判定は、電子メールやファイルが無害であることを意味するのではなく、電子メールまたはその添付ファイルの 1 つに、ウェブサイト上でホストされている悪意のあるダウンロードへのリンクが含まれていることを意味する場合があることに注意してください。

Threat Artifact の例:

  • 感染の可能性があるファイルとして "Fax message.msg" を検体提供したところ Security Response からは .msg ファイルは "Threat artifact" であるとの回答があった。このメールファイル自体は無害なものでメールの添付ファイルが検出対象に追加されるべき脅威である、つまり別々のファイルなのでメール自体は検出対象にならない。
  • メールに添付された PDF ファイルで、ソーシャルエンジニアリングの手法を使った読んだ人がクリックしたくなるような説明と合わせて URL へのリンクが表記されている。この PDF を検体提供したところ "Threat artifact" との回答があった。解析の結果としてはこの PDF 自体は Acrobat Reader の脆弱性を利用するなどの悪意を持った動作をするものではない無害なファイルではあるため検出対象とはならないが、リンク先の URL はマルウェアによる攻撃の一部として利用されていることが判明したため "Threat Artifact" と判定されている。
  • 同様にフィッシングメールやメールの添付ファイルは、シマンテックのマルウェアとして検出する基準を満たしていません。Does Endpoint Protection defend against Phishing? も参照してください。
  • .jpg (画像ファイル) に、ステガノグラフィーを使って隠された別のファイルが含まれています。隠されたファイルがツールによって抽出されると、悪意があるファイルになります。シマンテックは、その抽出されたファイルを検出します。.jpg 自体は他のツールによって意図的に操作されない限り害を及ぼすことができないため、"Threat Artifact" として分類されます。
  • ランサムウエアによって改変されたファイルを提供したところ "Threat artifact" との回答があった。このファイル自体は脅威性は無く無害であるものの、マルウェアによる攻撃の結果として生成されたものである。このファイルは削除して、正しいバックアップからリストアする必要がある。
  • ウイルスアウトブレイクが発生した環境で見つかったショートカットのファイルを提供したところ、.lnk ファイルは "Threat artifact" との回答があった。 脅威の多くは、感染の拡大あるいは起動時に実行されるために、ショートカットのファイルを作成する場合がある。 .lnk ファイルは脅威のファイルを指定しているだけでそれ単体で悪意のある動作をすることは無いため、検出対象にはならない。

Symantec Cloud Email Securityの場合:

Email artifact は Symantec .cloud AntiSpam team に分析のために集約・提供され、フィルタが作成される可能性があります。詳細については Spam email missed (False Negative) in Symantec.cloud も参照してください。

Symantec Messaging Gateway (SMG) と Symantec Mail Security for MS Exchange (SMSMSE) の場合:

Threat Artifact 応答を生成するメールメッセージを Manually submitting missed spam, phishing, marketing, suspicious URLS のプロセスで提出してください。

Additional Information

[英語文書] What is a Threat Artifact?

Powered by Wolken Software