※ 2022 年 6 月 13 日現在の情報をもとに作成しています

1. はじめに

本記事では、DNS ポリシーに用意されているファイル分析 (File Inspection) の紹介と、ファイル分析の動作確認のために EICAR テスト ファイルを使用する際の注意点について説明します。

※ Umbrella Roaming などの一部の古いタイプのサブスクリプション契約の場合、インテリジェントプロキシ (Intelligent Proxy) およびファイル分析を利用できません

2. ファイル分析について

ファイル分析は、インテリジェントプロキシが行う HTTP/S 通信の検査の 1 つで、Web サーバーからダウンロードしたファイルを AMP およびウイルス対策ソフトを使って検査します。以下の図のように、ダウンロードしたファイルに悪意があると判断した場合 (5)、ユーザーにブロック ページを返します (6)。

ファイル分析は DNS ポリシーで有効/無効に設定することが可能ですが、特定の端末で設定が反映されているかを EICAR テスト ファイルをダウンロードすることで確認できます。

EICAR テスト ファイルとは、セキュリティ組織である EICAR が開発したセキュリティ製品の検知テストをするためのファイルのことで、多くのセキュリティ製品でマルウェアとして扱われていますが、このファイル自体に危険性はありません。

具体的な確認方法としては、Umbrella が用意した以下のテスト用サイトの EICAR テスト ファイルをダウンロードするだけです。

https://ssl-proxy.opendnstest.com/download/eicar.com

※ SSL復号 (SSL Decryption) も有効にする必要があります

※ HTTP 用の URL (http://proxy.opendnstest.com/download/eicar.com) は、現在 Web ポリシーでのみ利用可能です

この ssl-proxy.opendnstest.com というドメインは、Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) によってグレーとして判定されるようになっており、DNS ポリシーでインテリジェントプロキシおよびファイル分析が有効になっていると、ファイルのダウンロードがブロックされます。

以下の画像は、HTTPS リクエストがインテリジェントプロキシに送られ、ウイルス対策ソフトによってブロックされたログが Umbrella Dashboard のアクティビティ検索 (Activity Search) レポートに記録された際のものです。

3. EICAR テスト ファイルの注意点

EICAR の公式 Web サイト「www.eicar.org」および「secure.eicar.org」に用意されている EICAR テスト ファイルを直接ダウンロードしても、これらのドメインはインテリジェントプロキシの対象となっておらず、ブロックが行われません。

同様に、自前で Web サーバーを立てて、そこに EICAER テスト ファイルを置き、インターネット経由でアクセスしたとしても、一部の例外 (Newly Seen Domain の場合など) を除き、一般のサイトはインテリジェントプロキシの対象とならないため、ブロックは行われません。

そのため、EICAR テスト ファイルを使ったテストを行う場合は、必ず Umbrella が用意したテスト サイトを利用してください。