メインコンテンツへスキップ

Documentation Index

Fetch the complete documentation index at: https://docs.box.com/llms.txt

Use this file to discover all available pages before exploring further.

悪意のあるコンテンツの検出ルールは、Box Shield内の機能です。 これは、Boxにアップロードされている悪意のあるファイルを特定し、ユーザーが危険なコンテンツをダウンロードすることを防ぎます。 悪意のあるコンテンツの検出ルールは、管理対象ユーザー外部ユーザー、匿名ユーザーからアップロードされたファイルをスキャンします。

マルウェアスキャンの種類

Box Shieldでは、悪意があると判定されたすべてのファイルにメタデータテンプレートが適用されます。 Box UIでアラートが生成され、管理者が検出ルールを有効にする際に [Boxイベントストリームにアラートを発行する] を有効にした場合は、追加のアラートイベントも生成されます。 スキャンされ、安全と判定されたファイルについては更新を提供しません。
評価スキャンディープスキャン
スキャンの種類

ファイルハッシュを、30以上の主要なマルウェアスキャンベンダーが提供する既知のマルウェアライブラリ内のハッシュと比較します。 ハッシュがマルウェアライブラリのいずれかで特定された場合、悪意があると判定されます。

ファイルを再帰的に展開して、不審な兆候となるものを識別し、より高度なマルウェアを特定します (静的解析スキャンの一種)。 スキャンは、すべてのアクティブなコンテンツに拡張されます。つまり、これまでにスキャンされていない企業のファイルは、次のプレビュー、共有、ダウンロード、または編集時にマルウェアスキャンが開始されます。 管理対象ユーザーがアクセスする外部ファイルをスキャンして、サードパーティによるリスクを軽減します。

スキャンが開始されるタイミング
  • ファイルのアップロード
  • 別のBox環境へのファイルの移動またはコピー
  • ファイルがダウンロード処理に基づいて定期的に再スキャンされるとき。 これにより、さまざまなマルウェアライブラリの新しいシグネチャが含まれる可能性のあるファイルに対してより適切なスキャンカバレッジが提供されます。
  • ファイルのアップロード
  • ファイルのダウンロード
  • ファイルのプレビュー
  • ファイルの共有
  • ファイルのコピー
  • ファイルの移動
サポートされるファイルサイズすべてのファイルサイズをサポート最大200 MBのファイル
サポートされるファイルの種類すべてのファイルの種類をサポートマルウェアディープスキャンでサポートされるファイルの種類を参照

マルウェアディープスキャンでサポートされるファイルの種類

マルウェアディープスキャンでは、普段使っているファイルの種類よりもリスクが高い可能性のある別の数種類のファイルが自動的に分析されます。また、必要に応じて、Microsoft Officeファイルが分析される場合もあります。 このセクションには、ディープスキャンが可能なファイルの種類の一部を示します。
ファイルのカテゴリファイルの種類
圧縮/アーカイブファイル.7z、.bz2、.gzip、.jar、.rar、.tar、.tar.bz2、.tar.gz、.tar.z、.xar、.zip
実行可能ファイル.bundle、.dll、.dylib、.elf (Intel 80386、80360、AMD x86-64向けにコンパイルされたELF 32およびELF 64)、.exe、Mach-O 32、Mach-O 64、Mach-O ARM、Mach-O FAT、.o、.ocx、PE 32、PE 64、scr、.so、.sys
ドキュメントファイル.doc、.docm、.docx、.hwp、.jdt、.mht、.pdf、.ppt、.pptm、.pptx、.rtf、.sylk、.xls、.xlsm、.xlsx
グラフィックファイル.tiff
ディスクイメージファイル.dmg (AppleDisk、KolyDMG、GPTDisk、HFSPlu)、ISO9960
その他のファイルEICAR、.lnk、.msg、.otf、.ttf

悪意のあるコンテンツの検出ルールの作成、編集、削除

この検出ルールを有効にするには、Box Shieldアドオンが有効になっているアカウントで管理者権限 (または 会社のShield構成を作成、編集、削除 権限を持つ共同管理者権限) が必要です。
: 各Boxアカウントに対して作成できる悪意のあるコンテンツの検出ルールは1つのみです。
一連の手順を説明したガイドについては、脅威検出ルールの作成、編集、削除に特化したページを参照してください。 悪意のあるコンテンツ固有の設定については、以下を確認してください。

悪意のあるコンテンツ固有の設定

ディープスキャンからのファイルの除外

この設定を有効にすると、特定のファイル拡張子をディープスキャンから除外できます。 除外したファイルの種類も引き続き評価スキャンの対象となるため、ご利用の環境における基本的なマルウェア対策は維持されます。 デフォルトでは無効になっています。
  • カスタム拡張子や独自拡張子を含む、すべてのファイル拡張子を除外できます。
  • 除外リストには最大10,000個のファイル拡張子を追加できます。
この設定は、ディープスキャンによって環境内の特定のファイルの種類に対して過剰にアラートが生成される場合に役立ちます。 ディープスキャンを全面的に無効にしなくても、誤検出を引き起こす特定の拡張子を除外しつつ、他のファイルの種類のスキャンは引き続き有効にしておくことができます。 Boxは、除外された拡張子を適用する前にファイルの種類を検証します。 割り当てられた拡張子と一致しないファイルの場合 (例えば、.exeが.pdfとしてアップロードされた場合) でも、環境を保護するために、そのファイルのスキャンには引き続きディープスキャンが使用されます。
注: 以前の [Microsoft 365用ディープスキャン] の切り替えは、[ディープスキャンからのファイルの除外] 設定に置き換えられました。 [Microsoft 365用ディープスキャン] の切り替えの設定は、新しい [ディープスキャンからのファイルの除外] の切り替えに引き継がれます。
  • この更新前に、企業で [Microsoft 365用ディープスキャン] の切り替えがオンになっていた場合 (つまり、Microsoft Officeファイルがディープスキャンの対象になっていた場合)、引き続きディープスキャンが行われます。
  • 企業で [Microsoft 365用ディープスキャン] の切り替えがオフになっていた場合 (つまり、Microsoft Officeファイルがディープスキャンの対象になっていなかった場合)、[ディープスキャンからのファイルの除外] が自動的に有効になります。 デフォルトでは、以下のMicrosoft Officeファイル拡張子が含まれます。
「.doc」、「.docm」、「.docx」、「.dotm」、「.dotx」、「.mpp」、「.mpt」、「.msg」、「.ost」、「.potm」、「.potx」、「.ppa」、「.ppam」、「.pps」、「.ppsm」、「.ppsx」、「.ppt」、「.pptm」、「.pptx」、「.pst」、「.sldm」、「.swf」、「.vsdm」、「.vsdx」、「.vssm」、「.vssx」、「.vstm」、「.vstx」、「.xlam」、「.xls」、「.xlsb」、「.xlsm」、「.xlsx」、「.xltm」、「.xltx」、「.xlw」移行後は、[ディープスキャンからのファイルの除外] 設定でいつでもこのリストを変更できます。

ダウンロードの制限

これを有効にすると、悪意のあるコンテンツを含むことが判明したファイルのダウンロードが制限されます。 プレビューとオンラインでの編集は引き続き可能です。 デフォルトでは無効になっています。
  • ディープスキャンと評価スキャンまたはそのいずれかの結果に基づいてダウンロードの制限を適用するかどうかを選択できます。
  • 有効にすると、選択したスキャンの種類によって悪意があるとフラグが設定されたファイルには、Box Shieldによって自動的にダウンロードの制限が適用されます。 これにより、エンドユーザーは自分のデバイスにそのファイルをダウンロードできなくなります。

重大度フィルタ

ディープスキャンで悪意のあるファイルとしてフラグを設定するために必要となる、最小重大度レベルを選択します。 重大度のしきい値を引き上げると、信頼性の低い検出結果は除外されるため、アラート数が減少します。 利用可能な重大度レベルを以下に示します。
  • [低以上]: どの重大度 (低、中、高、重大) が検出された場合もアラートをトリガーします。 このオプションを選択すると、重大度低が検出された場合も含まれるため、アラート数が最も多くなります。
  • [中以上] (デフォルト、推奨): 中、高、および重大が検出された場合にアラートをトリガーします。このオプションはバランスの取れたアプローチで、アラート数を管理可能な範囲に抑えつつ、検出範囲もしっかり維持します。
  • [高以上]: 高および重大が検出された場合にアラートをトリガーします。このオプションを選択すると、重大度中の検出が除外されるため、アラート数が減少します。 誤検出の件数が多い場合に推奨されます。
  • [重大のみ]: 重大が検出された場合のみアラートをトリガーします。 このオプションを選択すると、重大度が最も高い検出に対してのみアラートが生成され、アラート数が最小限に抑えられます。

悪意のあるコンテンツのアラート

悪意のあるコンテンツが検出されると、Shieldダッシュボードにアラートが表示されます。 アラートには、アラートID、日付、アラートの原因になったアクティビティを行ったアカウント所有者の名前とメールアドレス、リスクスコア、アラートの原因になったアクセスが行われたIPアドレスが含まれます。 アラートの詳細を確認するには、次の手順に従います。
  1. [管理コンソール] > [Shield] に移動します。
  2. [ダッシュボード] タブをクリックします。
  3. (省略可) アラートに [悪意のあるコンテンツ] でフィルタをかけます。
  4. アラートの一覧表で、アラートをクリックします。
  5. アラートの詳細ページが表示されます。
アラートの詳細ページには、次の内容が表示されます。
  • アラートサマリー: アラート名、アラートID、アラートタイプ、リスクスコア、アラートの作成日、設定されているダウンロード制限、悪意のあるファイルのアップローダー、アップロード場所を含むアラートの概要。
  • ファイルの詳細: ファイル名、ファイルバージョン、ファイルハッシュ、ファイルサイズ、バージョンのアップロード日、ファイルの作成日、最終更新日に関する情報。
  • 脅威の詳細: ディープスキャンと評価スキャンの結果 (スキャンされた場合) およびマルウェアのファミリと説明。
  • 地域別のアクティビティ: アラート発生時に当該アカウントのアクティビティが行われた場所。
  • アップローダーアクティビティ: アクティビティタイプ別に要約したアラート発生時の当該アカウントのアクティビティ。
  • ファイルアクティビティ: アップロードされた後のファイルのインサイト。
  • 安全なファイルとしてマーク: 管理者は、フラグの設定されたファイルを「安全」としてマークできるようになります。詳細については、安全なファイルとしてマークを参照してください。
  • 悪意のあるファイルに戻す: 管理者が以前にファイルを安全としてマークした場合に利用できます。
  • ファイルの変更: ファイルが安全なファイルとしてマークされた場合または悪意のあるファイルに戻された場合、ファイルの詳細には、コメント前回の変更を示す2行が追加されます。
: 過去1週間のアラート数は、[検出ルール] ページから確認できます。 さらに長い期間については、Shieldダッシュボードを確認してください。
ダッシュボードでは、アラートの後にフィードバックボックスが表示されます。 これを使用すると、機能の改善に役立つ提案やコメントをBoxに提供できます。

エンドユーザーへの影響

  • コンテンツのアップロード時に悪意のあるペイロードが検出されると、エンドユーザーに警告するための赤いバナーがプレビューページの上部に表示されます。
  • Shieldのマルウェアディープスキャンメタデータがコンテンツに追加され、悪意のあるコンテンツとしてフラグが設定されます。
  • ダウンロードの制限が有効な場合、エンドユーザーは、デスクトップアプリケーションでファイルをダウンロードすることも開くこともできません。 プレビュー、共有、編集は引き続き可能です (Microsoft Office Online、Google Workspaceなどのオンラインエディタを使用)。
    • ファイルが安全なファイルとしてマークされると、ファイルの制限は解除され、デスクトップアプリケーションでファイルをダウンロードすることも開くことも可能になります。
    • ファイルが悪意のあるファイルに戻されると、ファイルの制限が元に戻り、デスクトップアプリケーションでファイルをダウンロードすることも開くこともできなくなります。

アラートの処理と是正

この検出ルールでは、悪意のあるファイルが特定された場合に以下の処理を実行できます。

ダウンロードの制限

自動ダウンロードの制限は、検出ルールの構成ページから適用できます。 この制限により、エンドユーザーは、(Microsoft Office Online、Google Workspaceなどのオンラインエディタを使用した) プレビュー、共有、編集が可能ですが、ユーザー/組織に危害を加える可能性のあるファイルをダウンロードできなくなります。

誤検出判定の処理

すべてのマルウェアスキャンソリューションでは誤検出が発生する可能性があり、Shieldの悪意のあるコンテンツの検出ルールも例外ではありません。 Shieldチームは、顧客基盤全体における検出のパフォーマンスを継続的に評価し、可能な限り更新して有効性を改善しています。 悪意のあるコンテンツのアラートを確認する際は、以下の点を確認すると役立ちます。
  • 脅威が評価スキャン、ディープスキャン、またはその両方で報告されているかどうか
  • 報告された優先順位
  • ファイルの種類
  • ファイルをどこから取得したか
  • ユーザーがファイルを入手しようとしていたかどうか
  • ファイルの送信者を知っているかどうか
各種検出による判定は別々に検討する必要があります。
  • 評価スキャンによる悪意があるという判定は、誤検出が非常に稀であるため、調査が必要です。 評価スキャンでは、ファイルのハッシュと既知のマルウェアライブラリ内のハッシュが比較されます。 一致が見つかった場合、判定が誤検出である可能性は低くなります。 これらの判定は、優先度が高いものとして処理する必要があります。
  • ディープスキャンによる悪意があるという判定も調査する必要がありますが、評価スキャンと比較すると誤検出の可能性が高くなります。 ディープスキャンでは、ファイルをアンパックしてファイル内のさまざまな要素を分析します。特定の指標が組み合わさって悪意を示す可能性がありますが、ファイルの目的を十分に確認できるのは、ファイルの作成者/所有者のみです。
特定のファイルについてより詳細な分析が必要な場合は、アラートのページで [プレビュー] ボタンをクリックすると、そのファイルをコンテンツマネージャで開くことができます。 ここから、ファイルをさらに分析するためにサンドボックス環境にダウンロードできます。 特定のファイルの種類で一貫してディープスキャンが開始されるなど、誤検出アラートのパターンを特定できれば、検出ルールの構成設定を使用して対応できます。
  • [ディープスキャンからのファイルの除外]: 特定のファイル拡張子をディープスキャンから除外して、既知の安全なファイルの種類からの誤検出の繰り返しを防ぎます。
  • [重大度フィルタ]: アラートをトリガーさせるために必要な重大度の最小しきい値を引き上げます。
これらの制御機能は、低リスクの検出によるノイズを低減しつつ、よりリスクの高い脅威を確実に検出するのに役立ちます。

安全なファイルとしてマーク

ファイルに悪意があるというフラグが設定されていても、安全であると考えられる場合は、Shieldの管理者が [悪意のあるコンテンツ] アラートのページ内で安全なファイルとしてマークできます。 この操作により、ファイルに対して有効なダウンロードの制限がすべて解除され、エンドユーザーのファイルのプレビューページに表示されるマルウェアのバナーが削除されます。 悪意のあるファイルとしてマークする前に、判定を覆す決定を記録するためのコメントが求められます。 必要に応じて、ファイルを元の悪意があるという判定に戻すオプションを利用できます。