クリック時保護

Check Point'の仮想インライン技術は、Microsoft サーバによってスキャンされた後、ユーザのメールボックスに届く前のメールに対してフィッシング保護を提供します。

新たな攻撃はより高度化しており、リンク先のフィッシングWebサイトが既知の悪評を持たないようなフィッシングキャンペーンを生成できるようになっています。これは、メール送信後、数時間から数日間続くこともあります。

Click-Time Protectionメール本文および添付ファイル内のリンクを置き換えます。置き換えられたリンクはCheck Pointの検査サービスを指すため、ユーザがリンクをクリックするたびに、リンク先のWebサイトがフィッシングWebサイトではないことを確認するために検査されます。

Click-Time Protection検査にはこれらのセキュリティエンジンを使用します。

  • URL Reputation- URLが悪質であることが既知か、または何らかの悪質な参照を保持しているかを確認します。

  • URL Emulation- Webサイトをエミュレートして、ゼロデイのフィッシングWebサイトを検出します。

メリット

  • 最新のインテリジェンス - ユーザがURLをクリックした時点でリンクを検査することで、Check Pointは最新の検査インテリジェンスおよびソフトウェア機能に基づいてURLを検査できます。

  • ゼロデイのフィッシングWebサイトに対する保護 - ユーザがURLをクリックした時点でリンクを検査することで、Check PointはユーザをWebサイト内まで追跡できます。クリック時保護はその後、Webサイトをエミュレートして、隠れたフィッシング指標を明らかにします。そのため、悪質であることが既知ではないフィッシングWebサイトにもフラグが付けられます。

  • 悪質なURLをクリックしたユーザの特定 - クリック時保護のフォレンジックにより、管理者は悪質なリンクのクリックを避けるために追加の教育およびトレーニングが必要なユーザを特定できます。

- クリック時保護は、Office 365 MailおよびGmailでのみ利用可能です。

Microsoft ATPとの連携

Email Securityは、Microsoft Safe Linksが有効な場合でもリンク書き換えをサポートします。

両方のCheck Pointクリック時保護とMicrosoft Safe Linksがアクティブな場合、Check Pointによって書き換えられたリンクは、Microsoftによって書き換えられたリンク内に埋め込まれます。

書き換えられたリンクの形式は次のとおりです:

Safe Links rewritten URL prefix> < Check Point rewritten URL prefix> <Original URL> < Check Point rewritten URL suffix> <Microsoft Safe Links suffix>

この統合により、どちらかを無効化する必要なく、Check PointとMicrosoftの両方の保護が提供されます:

  • 両方Check PointとMicrosoftは、メール受信時に元のリンクを検査します。

  • ユーザがURLをクリックすると、Check PointとMicrosoftの両方がリンク先のWebサイトまたはファイルを検査し、悪質であると特定された場合はアクセスをブロックできます。

書き換えられたリンクをクリックした際、エンドユーザは次を体験します:

Microsoftの評価

Check Point判定

ユーザエクスペリエンス

クリーン

クリーン

元のURLにリダイレクトします。

悪質

悪質またはクリーン

Microsoftのブロックページ。

クリーン

悪質

Check Pointブロックページ。参照: Click-Time Protection - エンドユーザエクスペリエンス.

クリック時保護エンジンの設定

クリック時保護エンジンを設定するには:

  1. Security Settings > Security Enginesに移動します。

  2. ConfigureClick-Time Protectionをクリックします。

  3. Click on links to malicious websitesセクションで、悪質なWebサイトを処理するために必要なオプションを選択します。

    • 悪質なURLへのアクセスを防止します。ユーザは続行するオプションを持ちます。

    • 悪質なURLへのアクセスを防止します。ユーザは続行できません。

    • 何もしない

  4. 書き換え後のリンクにリダイレクトするために、メール本文内のQRコードを置き換えるには、Replace QR codes in email bodyチェックボックスをオンにします。

    - 書き換え後のQRコードでは、V1バージョンを使用するよう選択した場合でも、構造はV2バージョンと同じになります。詳細:書き換え済みCheck PointURL.

  5. 悪いレピュテーションのないフィッシングWebサイトを検出するために、リンク先のWebサイトをエミュレートするには、Emulate websites via URL Emulationチェックボックスをオンにします。

    - Emulate websites via URL Emulationが無効になっていて、管理者がこれを有効にした場合、URL Emulation が動作を開始するまでに最大20分かかることがあります。

  6. Click on links leading to a Captcha pageドロップダウンから、captchaページを処理するために必要なオプションを選択します:

    • ページへのアクセスを防止します。ユーザは続行できません。

    • ページへのアクセスを防止します。ユーザは続行するオプションを持ちます。

    • 何もしない(デフォルト)

      - Click on links leading to a Captcha pageドロップダウンは、Emulate websites via URL Emulationチェックボックスが有効な場合にのみ使用できます。

  7. Click on links leading to a QR pageドロップダウンから、QRページを処理するために必要なオプションを選択します:

    • ページへのアクセスを防止します。ユーザは続行できません。

    • ページへのアクセスを防止します。ユーザは続行するオプションを持ちます。

    • 何もしない(デフォルト)

      - Click on links leading to a QR pageドロップダウンは、Emulate websites via URL Emulationチェックボックスが有効な場合にのみ使用できます。

  8. リンクの背後にあるファイルを検査するには、Clicks on links leading to file downloadsセクションで次を実行します:

    1. Inspect files behind linksチェックボックスをオンにします。

    2. ワークフローを選択します:

      • 悪質なファイルのダウンロードを防止します。ユーザは続行してダウンロードするオプションを持ちます。

      • 悪質なファイルのダウンロードを防止します。ユーザは続行できません。

      • 何もしない

    3. ファイル検査が特定の時間を超えた場合にファイルのダウンロードを許可するには、次を実行します:

      1. Limit inspection timeチェックボックスをオンにします。

      2. Allow download if inspection takes more than (seconds)フィールドに、秒単位で時間を入力します。

      詳細:リンクの背後にある悪意のあるファイルからの保護.

  9. Advancedで、必要なURLバージョン(V1またはV2)を選択します。

    URLバージョンの詳細については、書き換え済みCheck PointURL.

    -Check Pointは、V2バージョンの使用を推奨しています。

  10. Saveをクリックします。

    :

    • リンクの書き換えを開始するには、Click-Time Protectionポリシーを設定する必要があります。Click-Time Protectionポリシーを設定するには、次を参照してくださいクリック時保護ポリシー.

    • Click-Time Protectionの許可リストまたはブロックリストを作成するには、次を参照してくださいクリック時保護の例外.

書き換え済みCheck PointURL

書き換え済みCheck PointURLの形式は<click-time domain>_<original url>_<encrypted blob>です。Click-Time Protectionエンジンの設定中に、管理者はこれらのバージョンから<click-time domain>を選択できます:

  • V1: https://checkpoint.url-protection.com/v1/

  • V2: https://protect.checkpoint.com/v2/

<click-time domain> V2バージョンでは、元のURLはアンダースコアで囲まれるため、元の(書き換えられた)URLを識別しやすくなります。また、URLはより短く、ドメインもV1バージョンとは異なります。

:

  • Check Pointでは、V2バージョンの使用を推奨しています。

  • 書き換えられたQRコードについては、V1バージョンを使用するように選択した場合でも、構造はV2バージョンと同じになります。

  • Click-Time Protectionポリシーが設定されており、Protect (Inline) Internal TrafficポリシーでThreat Detectionオプションが有効になっている場合、システムは同じ組織のメンバに送信されるメール内のリンクを書き換えます。参照: 内部メールの脅威検出ポリシー

  • URLの書き換えなどの標準的なメールセキュリティアクションについて。デジタル署名されたメッセージの完全性を維持するために、Email SecurityにはS/MIME署名済みメールに対するセキュリティ変更を回避する機能があります。参照: S/MIME署名付きメールのサポート.

元のURLの完全パスを非表示にする

デフォルトでは、書き換えられたURLには元のURLの完全パスが含まれており、エンドユーザにとっての可読性と予測可能性が向上します。ただし、管理者が完全パスを表示したくない場合は、Click-Time Protectionセキュリティエンジンを設定して、元のリンクのドメインのみを含むようにURLを書き換え、残りのパスを難読化できます。

元のURLの完全パスを難読化するには:

  1. Security Settings > Security Enginesに移動します。

  2. ConfigureClick-Time Protectionをクリックします。

  3. Re-written URLフィールドで、次のいずれかを選択します。

    • Full original URL included in re-written URL

    • Only original URL domain visible in re-written URL

- 元のURLの難読化は、再書き換えリンクのバージョンがv2の場合にのみサポートされます。

難読化された元のURLを含む再書き換えURL

たとえば、元のリンクがhttps://www.acme.org/lorem/ipsum/dolor.aspxの場合、再書き換えリンクは次のようになります:

  • Without obfuscation-https://protect.checkpoint.com/v2/___https://www.acme.org/lorem/ipsum/dolor.aspx{}.YXAzOnByb2...{_}

  • With obfuscation-https://protect.checkpoint.com/v2/___https://www.acme.org/NsyjwsfqrjidLjsjyn.fxuC___.YXAzOnByb2...

- 難読化により、難読化なしのリンクと比べて書き換えられたリンクの長さが約2~3文字増える場合があります。

書き換えられたURLの有効性

  • Email Securityは、有効なライセンスがある場合にのみ、書き換えられたURLのリンク先Webサイトを検査します。

  • 書き換えられたURLは、有効なライセンスがない場合や、Check Point Portal.

  • ライセンスの有効期限が切れた後、Email Securityは検査を行わずに書き換えられたURLを元のURLにリダイレクトします。

  • Email Securityは、URLをクリックするユーザの識別情報(内部ユーザ、外部ユーザ、または未識別ユーザ)に関係なく、上記のとおり書き換えられたURLを処理します。

    したがって、メールがCheck Pointで保護されていない組織内のユーザに転送された場合でも、このユーザ'のクリックもCheck Pointによって保護されます。

添付ファイル内のリンクの置換 - サポートされているファイルタイプ

次を設定した場合クリック時保護ポリシーを使用して添付ファイル内のリンクを置換するよう設定した場合、これらのファイルタイプではリンクが置換されます:

ファイル タイプ

ファイルの拡張子

Adobe FDF

FDF

Adobe PDF(すべてのバージョン)

PDF

Microsoft Excel 2007 以降

XLSX, XLSB, XLSM, XLTX, XLTM, XLAM

Microsoft Excel 2007 バイナリ

XLSB

Microsoft Excel 97 - 2003

XLS

Microsoft PowerPoint 2007 以降

PPTX, PPTM, POTX, POTM, PPAM, PPSX, PPSM

Microsoft PowerPoint 97 - 2003

PPT, PPS, POT, PPA

Microsoft Word 2007 以降

DOCX, DOCM, DOTX, DOTM

Microsoft Word 97 - 2003

DOC, DOT

リンクの背後にある悪意のあるファイルからの保護

Anti-Malware セキュリティエンジンは、エンドユーザに配信する前に、直接ダウンロードリンクの背後にあるファイルをエミュレーションします。メール送信後にリンクの背後にあるファイルが改変される攻撃を防ぐため、この検査は、Click-Time Protection によって書き換えられたそのようなリンクをユーザがクリックしたときにも実行されます。

リンクの背後にあるファイルが悪意があると判定され、かつ Click-Time Protection セキュリティエンジンがそれをブロックするよう設定されている場合、そのファイルへのアクセスはブロックされます。

Click-Time Protection セキュリティエンジンでワークフローを設定するには、次を参照してくださいクリック時保護エンジンの設定.

Click-Time Protection - エンドユーザエクスペリエンス

次の後クリック時保護エンジンの設定andクリック時保護ポリシー、Email Security は受信メールおよびその添付ファイル内のすべての URL をCheck PointURL に置き換えます。

このURLには元のURLを示すツールチップも表示され、リンクが次によって保護されていることを示しますCheck Point.

- フォーマットされたツールチップは、Microsoft Outlook for Mac、Outlook Web Access、およびその他多くのクライアントで利用できます。Outlook for Windows などの一部のクライアントでは、ツールチップを表示する機能が制限されており、書き換えられた生のURLが表示されます。

悪意のあるWebサイトのクリック- ユーザエクスペリエンス

いつユーザ WebサイトのURLをクリックすると、Email Security はターゲットURLを確認します。

  • URLが悪意のあるものではないと判断された場合、ユーザは元のURLにリダイレクトされます。

  • URLが悪意のあるものと判断された場合、ユーザは警告ページに転送されます。

    • 悪意のあるURLに対するワークフローがPrevent access to the malicious URL. User has option to proceedClick-Time Protection セキュリティエンジン内で、警告ページで追加の Proceed anyway リンクが表示されます。

直接ダウンロードリンクのクリック - ユーザエクスペリエンス

いつユーザが直接ダウンロードリンクをクリックすると、Anti-Malware セキュリティエンジンがファイルをエミュレートします。

  • ファイルが悪意のあるものとして検出された場合:

    • 設定されたワークフローがPrevent download of malicious file. User cannot proceed場合、ファイルをブロックして警告ページを表示します。

    • 設定されたワークフローがPrevent download of malicious file. User has the option to proceed and download場合、ファイルをブロックして警告ページを表示します。ただし、ユーザは Download anyway をクリックしてファイルをダウンロードできます。

  • ファイルがクリーンであると検出された場合、通知を表示してファイルをダウンロードします。

Google Drive プレビューリンク

デフォルトでは、Gmail インタフェースでは、Google Drive 内のファイルへのリンクがある場合、そのファイルがメールに添付されているかのようにファイルプレビューがメールに表示されます。

ただし、Email Security がリンクを書き換えると、システムはファイルプレビューを表示しません。

フォレンジック

Click-Time Protection プロセスの各段階は、元の URL の置換からクリック時スキャンの結果に至るまで、フォレンジックおよび監査の目的で記録されます。

Click-Time Protection は、イベントをMalicious Url Click および Proceed to Malicious Url として処理します。

  • Malicious Url Clickユーザが書き換えられた URL をクリックし、警告ページまたはブロックページにリダイレクトされたときに、イベントが記録されます。

  • Proceed to Malicious Url イベントは、ユーザが警告ページで Proceed anyway をクリックしたときに記録されます。参照: クリック時保護エンジンの設定.

受信者が複数いる場合、URL のクリックごとにイベントが生成されます。イベントはデフォルトで集約されます。

置換されたリンクを含むメールの表示

これらの詳細は、Emails with Modified Attachmentsページで表示できます。

- このページには、メール本文内のリンクが置き換えられたメールは表示されません。

変更されていないメールをエンドユーザに送信する

元のメールをエンドユーザに送信するには、次のいずれかを実行します。

  • Modified Attachmentsページから。

    1. User Interaction >Modified Attachments にアクセス。

    2. 元のメールを送信するには、リクエストテーブルの最後のカラムにあるそのメールのアイコンをクリックし、Send Originalを選択します。

    3. 複数のメールを一度に送信するには、メールを選択し、ページ右上隅のSend Originalをクリックします。

    4. ここをOK.

  • メールプロファイルページから。

    1. メールプロファイルページを開きます。

    2. Email Profileセクションで、SendSend Original Emailをクリックします。

    3. ここをOK.

置換されたリンクおよびユーザのクリックの表示

  • Email Profile ページから

    • Security Stack の下の Click-Time Protection について、管理者は次を表示できます:

      • Replaced Links- メール本文およびその添付ファイル内で Click-Time Protection エンジンによって置換されたすべてのリンク

      • User Clicks– ユーザによって実行されたすべてのクリック(クリーンな Web サイトと悪意のある Web サイトの両方)

    • Email Attachments の下で、リンクが置換された添付ファイルには小さなアイコンが表示されます。

  • Attachment Info ページの Security Stack の下で、管理者は添付ファイル内のすべての Replaced Links を確認できます。

    添付ファイル内およびメール本文内のリンクに対する User Clicks の一覧は、Email Profile ページでのみ利用可能であり、Attachment info ページでは利用できません。

どのユーザがリンクをクリックしたかの判定

リンクをクリックしたユーザの識別は、Email Security がクリックしたユーザのブラウザに追加するクッキーに基づいています。

識別手順:

  1. ユーザが 1 つのメールアドレスにのみ送信されたメール内の置換されたリンクをクリックした場合(クリック番号 1)、Email Security はそのユーザのブラウザにクッキーを追加します。

  2. ユーザが前回のクリックから 30 日以内に、同じブラウザを使用してメール内の別の置換されたリンクをクリックし(クリック番号 2)、そのメールが同じメールアドレスに送信されている場合、そのユーザの識別情報はそのブラウザに関連付けられます。

  3. クリック番号 2 と、その後 365 日以内に置換されたリンクに対して行われる以降のすべてのクリック(同じブラウザで開かれたもの)は、メール受信者数に関係なく、そのユーザに帰属します。

  4. クリック番号 1 から 365 日後に、クッキーはブラウザから削除され、手順が再開されます。

: この表の各行は、John Smith による置換されたリンクのクリックを示しています:

日付

メール受信者

John Smith のブラウザ

報告されたクリックユーザ

クリックしたユーザとして報告される理由

2025年1月1日

John Smith

クッキーが追加

未確定

1 回のクリックだけではJohn Smithだと判定するには不十分です。

02 January 2023

John Smith

Mary Brown

James Wilson

クッキーは引き続き有効

未確定

単一の受信者に送信されたメール内のリンクについて、このブラウザからの別のクリックを待機。

2023年1月3日(または2023年1月30日より前の任意の日付)

John Smith

クッキーは引き続き有効

John Smith

John Smithは、前回のクリックから30日以内に同じブラウザを使用して、メール(1人のみに送信)内の置き換えられたリンクをクリックしました(クリック番号2)。

したがって、クリックしたユーザとしてJohn Smithが報告されます。

2023年2月20日(または2024年1月1日より前の任意の日付)

John Smith

Mary Brown

James Wilson

クッキーは引き続き有効

John Smith

クッキーが引き続き有効であるため、メールは複数のユーザに送信されていますが、クリックしたユーザとしてJohn Smithが報告されます。

2024年1月1日

John Smith

新しいクッキーが追加

未確定

最初のクリック(クリック番号1)から365日が経過したため、古いクッキーは削除され、新しいクッキーが追加されて、ユーザ識別手順が再び開始されます。