検出されたリスク

検出されたリスクとは、不審メールメッセージによって示される潜在的な危険です。

Deep Discovery Email Inspectorでは、複数階層の脅威分析を使用してメールメッセージのリスクを評価します。メールメッセージを受信すると、Deep Discovery Email Inspectorのメール検索機能により、トレンドマイクロ Smart Protection Networkおよび高度な脅威検索エンジンで既知の脅威の有無が確認されます。そのメールメッセージに未知の特徴や不審な特徴がある場合は、メール検索機能により添付ファイルと埋め込まれたURLが仮想アナライザに送信され、さらに分析されます。仮想アナライザでは、不審なファイルおよびURLの動作をシミュレートして、潜在的な脅威を識別します。Deep Discovery Email Inspectorの検索機能と仮想アナライザの間で割り当てられた最大のリスクに基づいて、メールメッセージにリスクレベルが割り当てられます。

Deep Discovery Email Inspectorがメールメッセージを調査する方法の詳細については、新しい解決策を参照してください。

メールメッセージのリスクレベル

次の表は、調査後のメールメッセージのリスクレベルを示しています。メールメッセージがどのような基準で高、中、低のリスクに分類されたかを確認するには、この表を参照してください。

表 1. メールメッセージのリスク定義

リスクレベル

説明

高リスクのメールメッセージは次のとおりです。

  • 仮想アナライザに高リスクとして検出された未知の脅威の添付ファイル

  • YARAルールに基づき高リスクとして検出された添付ファイル

  • 不審ファイルの一致に基づき高リスクとして検出された添付ファイル

  • 機械学習型検索およびメール不正プログラム脅威検索により検出された添付ファイル

  • ビジネスメール詐欺

  • 仮想アナライザに高リスクとして検出されたリンク

  • 不審URLの一致に基づき高リスクとして検出されたリンク

中リスクのメールメッセージは次のとおりです。

  • 既知の不正プログラム

  • 既知のフィッシング脅威

  • 既知の危険なリンク

  • YARAルールに基づき中リスクとして検出された添付ファイル

  • 不審URLの一致に基づき中リスクとして検出されたリンク

未知のリンクが高リスクとして判定されることはありません。

低リスクのメールメッセージは次のとおりです。

  • 既知の極めて不審な、または不審なリンク (アグレッシブモード)

  • 仮想アナライザに低リスクとして検出されたリンク

  • 仮想アナライザに低リスクとして検出された添付ファイル

  • YARAルールに基づき低リスクとして検出された添付ファイル

  • 不審URLの一致に基づき低リスクとして検出されたリンク

  • ソーシャルエンジニアリング攻撃

  • ビジネスメール詐欺 (BEC)

リスクなし

リスクのないメールメッセージ:

  • 不審な添付ファイルやリンクは含まれない

  • 既知の極めて不審な、または不審なリンクを含む (標準モード)

  • ポリシー除外条件に一致する

未評価

未評価のメールメッセージは、次のいずれかのカテゴリに分類されます。

  • バイパスされた検索: 添付ファイルの圧縮レイヤが20を超えている (ファイルが20回を超えて圧縮された)

  • 検索不能なアーカイブ: パスワードリストやヒューリスティックに取得されたパスワードを使用しても抽出や検索ができないパスワード保護されたアーカイブ

  • 検索不能メッセージまたは添付ファイル: 次のいずれかの条件に一致

    • メール形式が正しくない

    • 仮想アナライザがメールメッセージを分析しようとしたときにシステムのタイムアウトが発生した

    • 仮想アナライザが一部の添付ファイルまたはリンクを分析しようとしたときにシステムのタイムアウトが発生し、その他のリスクは検出されなかった

    • 仮想アナライザがすべての添付ファイルまたはリンクを分析できず、その他のリスクは検出されなかった

使用不可

Deep Discovery Email Inspectorでは、スパムメール/グレーメールメッセージ、またはコンテンツ違反や情報漏えい対策イベントにより検出されたメールメッセージにリスクレベルを割り当てません。

仮想アナライザのリスクレベル

次の表は、オブジェクト分析後の仮想アナライザのリスクレベルを示しています。不審オブジェクトがどのような基準で高または低のリスクに分類されたかを確認するには、この表を参照してください。

リスクレベル

説明

オブジェクトは、一般的に不正プログラムに関連付けられる非常に不審な特徴を示しています。

例:

  • 不正プログラムのシグネチャ、既知のセキュリティホール悪用コード

  • セキュリティソフトウェアエージェントの無効化

  • 不正なネットワーク接続先への接続

  • 自己複製、他のファイルへの感染

  • ドキュメントによる、実行可能ファイルのドロップまたはダウンロード

オブジェクトは、無害である可能性が高い、軽度の不審な特徴を示しています。

リスクなし

オブジェクトは、不審な特徴を示していません。