挙動監視による不正プログラム/ランサムウェア検索の強化

Deep Security 10で導入された新機能です。

Deep Securityには、Deep Security Agentで保護されているWindowsコンピュータに適用することで、不正プログラムとランサムウェアの検出率と駆除率の向上を実現するセキュリティ設定が用意されています。この設定を適用すると、パターンファイルとの照合による不正プログラムの検出にとどまらず、パターンファイルにまだ追加されていない新たな不正プログラムを含んでいる可能性がある不審なファイル (ゼロデイ攻撃) も特定できます。

このトピックの内容:

強化された検索で実現される保護

脅威の検出: 不正プログラムの中には、検出を逃れるために、システムファイルや既知のインストール済みソフトウェアに関連するファイルを変更しようとするものがあります。不正プログラムは正規のファイルに代わって動作するため、多くの場合このような変更が表面化することはありません。Deep Securityでは、システムファイルとインストール済みソフトウェアを監視して、不正な変更を検出して未然に防ぐことができます。

攻撃コード対策: 不正プログラムの作成者は、不正なコードをユーザモードのプロセスにフックすることで、信頼されたプロセスに特権でアクセスし、不審なアクティビティを隠します。また、DLLインジェクションを通じてユーザプロセスにコードを挿入し、エスカレートされた特権でAPIを呼び出します。さらに、不正なペイロードを挿入してメモリ内でコードの実行をトリガする方法で、ソフトウェアのセキュリティホールに対して攻撃を仕掛けることもあります。Deep Securityの攻撃コード対策機能は、通常とは異なる操作を実行している可能性があるプロセスがないかを監視します。Deep Securityでは、Data Execution Prevention (DEP)、Structured Exception Handling Overwrite Protection (SEHOP)、ヒープスプレー防止などの複数のメカニズムを使用して、プロセスへの感染を判断し、プロセスを終了してさらなる感染を防止します。

拡張されたランサムウェア対策: ランサムウェアは最近ますます巧妙になり、標的を絞り込んだものが増えています。ほとんどの組織では、不正プログラム対策を含むセキュリティポリシーをエンドポイントに適用しており、既知のランサムウェア亜種には対応しています。ただし、新たな亜種の発生を検出して防止するには不十分です。Deep Securityが提供するランサムウェア対策機能は、不正な暗号化や変更からドキュメントを保護します。また、暗号化されたファイルのコピーを作成可能なデータ復元エンジンも組み込まれているため、ファイルがランサムウェアプロセスで暗号化された場合にも復元できる可能性が高くなります。

強化された検索を有効にする方法

強化された検索は、ポリシーまたは個々のコンピュータに適用する不正プログラム対策設定の一部として設定します。不正プログラム対策保護の設定に関する全般的な情報については、サーバを不正プログラムから保護するための4つのステップを参照してください。

この設定は、Deep Security Agentで保護されているWindowsコンピュータにのみ適用できます。

強化された検索は、負荷の高いアプリケーションを実行しているAgentコンピュータのパフォーマンスに影響する可能性があります。Googleでは、不正プログラム対策のパフォーマンスのヒント強化された検索が有効になったDeep Security Agentを配信する前に確認してください。

最初に、不正プログラムのリアルタイム検索設定で、強化された検索を有効にします。

  1. Deep Security Managerで、[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] の順に選択します。
  2. 既存のリアルタイム検索設定をダブルクリックして編集します (不正プログラム検索設定の詳細については、不正プログラム検索設定を参照してください)。
  3. [一般] タブで以下のオプションを選択します。
    • 不審なアクティビティ/不正な変更 (ランサムウェアを含む) を検出する:前述した脅威の検出、攻撃コード対策、ランサムウェア検出の各機能を有効にします。
    • ランサムウェアによって暗号化されたファイルをバックアップおよび復元する:このオプションを選択すると、ファイルの暗号化がランサムウェアプロセスによるものである場合に備えて、暗号化されたファイルのバックアップコピーが作成されます。
  4. [OK] をクリックします。

初期設定では、リアルタイム検索はすべてのディレクトリを検索するように設定されます。この設定をディレクトリリストの検索に変更すると、強化された検索が想定どおりに機能しない場合があります。たとえば、[検索対象ディレクトリ] を「Folder1」に設定した場合にFolder1でランサムウェアが発生すると、Folder1の外部にあるファイルがランサムウェアによって暗号化された場合、ランサムウェアが検出されない可能性があります。

次に、不正プログラム検索設定をポリシーまたは個々のコンピュータに適用します。

  1. コンピュータエディタまたはポリシーエディタClosed これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[不正プログラム対策]→[一般] の順に選択します。
  2. [不正プログラム対策のステータス][オン] または [継承 (オン)] であることを確認します。
  3. [一般] タブには、[リアルタイム検索][手動検索][予約検索] の各セクションがあります。該当するセクションで、[不正プログラム検索設定] リストから上記の手順で作成した検索設定を選択します。
  4. [保存] をクリックします。

強化された検索で問題が検出された場合の動作

有効になっている強化された検索の設定に一致するアクティビティやファイルが検出されると、イベントがログに記録されます ([イベントとレポート]→[イベント]→[不正プログラム対策イベント] の順に選択するとイベントのリストを表示できます)。このイベントは [主要なウイルスの種類] 列に「不審なアクティビティ」または「不正な変更」として記録され、[対象] 列と [対象の種類] 列に詳細が表示されます。

Deep Securityでは強化された検索の設定に関連するさまざまなチェックが実施され、問題を検出したチェックの種類に基づいて処理が実行されます。実行される処理は、「アクセス拒否」、「終了」、または不審なオブジェクトの「駆除」です。実行される処理はDeep Securityによって決定され、「駆除」以外の処理は変更できません。

  • アクセス拒否: 不審なファイルをオープンまたは実行しようとする挙動を検知すると、ただちにその操作をブロックして不正プログラム対策イベントを記録します。
  • 終了: 不審な操作を実行したプロセスを終了し、不正プログラム対策イベントを記録します。
  • 駆除: 不正プログラム検索設定をチェックし、[処理] タブでトロイの木馬に対して指定されている処理を実行します。トロイの木馬ファイルに対して実行される処理に関連して、1つ以上のイベントが追加で生成されます。

イベントをダブルクリックすると詳細が表示されます。

ランサムウェアに関連するイベントの場合は、[対象ファイル] タブが追加で表示されます。

特定されたファイルを調べて無害であることが判明した場合は、イベントを右クリックして[許可] をクリックし、コンピュータまたはポリシーの検索除外リストにそのファイルを追加します。検索除外リストは、ポリシーエディタまたはコンピュータエディタで [不正プログラム対策]→[詳細]→[挙動監視保護の例外] の順に選択して確認できます。

Agentをインターネットに直接接続できない場合の対処

このトピックで説明した強化された検索機能は、Good File Reputation ServiceとGood File Reputation Serviceでファイルをチェックするため、インターネットへのアクセスを必要とします。Deep Security Agentがインターネットに直接アクセスできない場合は、プロキシを設定してAgentがこれらのサイトをチェックできるようにする必要があります。

AgentがGlobal Census ServerおよびGood File Reputation Serviceをチェックできないと、検索での検出率が大幅に低下します。たとえば、ランサムウェアは検出されず、プロセスメモリ検索も影響を受けます。

プロキシ設定は、ポリシーまたは個々のコンピュータで設定できます。

  1. ポリシーエディタまたはコンピュータエディタで、[設定]→[一般] の順に選択します。この設定は、[CensusおよびGood File Reputationサービス] にあります。
  2. [継承] チェックボックスがオンになっている場合、プロキシ設定は親ポリシーから継承されます。このポリシーまたはコンピュータでこの設定を変更する場合は、チェックボックスをオフにします。
  3. [グローバルサーバへのアクセス時にプロキシを使用する] チェックボックスがオンになっていることを確認し、リストで [新規] を選択します。表示されたダイアログボックスでプロキシを設定します。

Deep Securityではプロキシ設定の有効性を確認するチェックが実行されないため、設定を行う際には注意が必要です。コンピュータエディタまたはポリシーエディタの [不正プログラム対策]→[Smart Protection]→[ファイルレピュテーションサービス用のSmart Protection Server] でSmart Protection Serverのプロキシを設定している場合は、ここでも同じ設定を使用できます。