悪意のあるスクリプトと接続の検出
Page Shieldは、スクリプトまたはスクリプトによって行われた接続が悪意のあるものであるかどうかを判断するために、さまざまなメカニズムを実装しています。これらのメカニズムは次のとおりです:
- 悪意のあるURLチェック
- 悪意のあるドメインチェック
- 悪意のあるスクリプト検出
脅威フィードへの更新は、以前に検出されたスクリプトや接続に対して新しいチェックをトリガーし、Page Shieldのダッシュボードが常に最新の分類を反映するようにします。
Page Shieldは、脅威フィード内でJavaScript依存関係のURLを検索し、それらのスクリプトのいずれかが悪意のあるものとして分類されるべきかどうかを判断します。
Page Shieldのダッシュボードは、悪意のあるものと見なされたスクリプトをスクリプトリストの上部に表示します。
Cloudflareがあなたのドメイン内の悪意のあるURLからスクリプトを検出したときに、アラート通知を受け取るために悪意のあるURLアラートを設定することができます。
現在の設定に応じて、Page Shieldは、あなたのドメイン内のスクリプトによって行われた外向き接続のURL内で悪意のあるURLを検索することもできます。このチェックを有効にするには、Page Shieldの設定で外向き接続の完全なURLを使用することを許可する必要があります。
Page Shieldは、脅威フィード内でクライアントサイドのJavaScript依存関係のドメインを検索し、それらのスクリプトが既知の悪意のあるドメインから提供されているかどうかを判断します。
以前に悪意のあるものとして報告されたドメインは、さらなる分析の結果、安全と見なされる場合、後に悪意のないものとして報告されることがあります。
Page Shieldは、あなたのドメインのページ内のスクリプトによって行われた接続のターゲットドメインもチェックし、スクリプトに対して説明されたのと同じアプローチに従います。
Cloudflareがあなたのドメイン内の既知の悪意のあるドメインから読み込まれた悪意のあるスクリプトを検出したときに、アラート通知を受け取るために悪意のあるドメインアラートを設定することができます。
このタイプの検出では、Page Shieldはスクリプトファイルをダウンロードし、分類器を通じて実行します。分類器は、フォームフィールドの取得とデータの流出呼び出しとの相関関係を探す前に、いくつかの操作—デオブフスケーション、正規化、デコード—を実行します。相関関係が強いほど、そのスクリプトがMagecart型攻撃 ↗のような悪意のある操作を行っている可能性が高くなります。
スクリプト分類器は、スクリプトの確率スコア(JS整合性スコアとも呼ばれる)を1から99の範囲で出力します。1は確実に悪意のあることを意味し、99は確実に悪意のないことを意味します。このスコアとしきい値の値が、悪意のあるスクリプト検出システムがスクリプトを悪意のあるものとして分類するかどうかを決定します。
スクリプトを悪意のあるものと見なすためのスコアしきい値は現在50に設定されています。この値未満のスクリプト分類スコアの場合、Page Shieldのダッシュボードはそのスクリプトを悪意のあるものとして表示します。
悪意のあるスクリプトアラートを設定することができます。Cloudflareがあなたのドメイン内で悪意のあるものとして分類されたJavaScriptコードを検出したときに、アラート通知を受け取ります。
悪意のあるものと見なされるスクリプトと接続は、脅威インテリジェンスフィードからのデータに基づいて分類されます。現在のカテゴリは次のとおりです:
- セキュリティ脅威
- コマンド&コントロール(C2)&ボットネット
- 暗号通貨マイニング
- スパイウェア
- フィッシング
- マルウェア
- ドメイン生成アルゴリズム(DGA)ドメイン
- タイポスクワッティング&なりすまし
悪意のあるものと見なされる各スクリプトまたは接続は、複数のカテゴリに属する可能性があります。