不正プログラム検索設定

不正プログラム対策機能の紹介や推奨設定方法についての情報は、次のWebサイトでまとめて確認できます。環境の構築を始める前に参照すると、動作不調のリスク軽減および安定性の向上に役立てることができます。
https://success.trendmicro.com/jp/solution/000286756

不正プログラム検索設定は保存して再利用可能な設定で、ポリシーまたはコンピュータに不正プログラム対策を設定する場合に適用できます。この設定には、Deep Securityで実行する不正プログラム検索の種類と検索対象のファイルを指定します。必要に応じて、複数の不正プログラム検索設定を使用できます。

不正プログラム対策の設定によって、CPUとRAMの使用率は変化します。Deep Security Agentでの不正プログラム対策のパフォーマンスを最適化するには、不正プログラム対策のパフォーマンスのヒントを参照してください。

不正プログラム検索設定を作成または編集する

[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。

Deep Securityには、定義済みの不正プログラム検索設定がいくつか用意されています。[不正プログラム検索設定] 画面では次の操作を実行できます。

  • 既存の検索設定をダブルクリックして、そのプロパティを表示および編集する。プロパティについては後述します。
  • 設定を選択して[複製] をクリックし、編集可能なコピーを作成する。
  • [新規][新規の不正プログラムのリアルタイム検索設定] または [新規の不正プログラムの手動/予約検索設定] をクリックして新しい設定を作成する。リアルタイム検索、手動検索、予約検索の違いについては、サーバを不正プログラムから保護するための4つのステップを参照してください。

不正プログラム検索設定のプロパティ

不正プログラム検索設定を作成または編集する際には、設定可能なプロパティが次の各タブに表示されます。

不正プログラム検索設定には、リアルタイム検索手動/予約検索の2種類があります。どちらの検索でもほとんどの処理が可能ですが、「アクセス拒否」などの一部の処理はリアルタイム検索でのみ使用できます。また、「CPU使用率」など、手動/予約検索でのみ使用可能な処理もあります。

一般

一般情報

不正プログラム検索設定の名前と説明、および検索の種類 (リアルタイムまたは手動/予約)。リアルタイム検索、手動検索、予約検索の違いについては、サーバを不正プログラムから保護するための4つのステップを参照してください。

ドキュメントの脆弱性対策

埋め込まれた攻撃コードおよび既知の脆弱性をDeep Securityで検索する場合は、[ドキュメントの脆弱性を突いた攻撃コードを検索する] を選択します。続いて、以下のオプションを選択できます。

  • 既知の脆弱性に対する攻撃コードのみを検索する:既知の重大な脆弱性のみを検出します。
  • 既知の脆弱性に対する攻撃に加え、未知の攻撃コードも積極的に検索する: より多くの問題が検出されますが、誤判定も増えます。ファイルを自動的にDeep Discovery Analyzerに送信する場合は、このオプションを選択する必要があります。

これらのオプションはConnected Threat Defenseの機能の一部です。詳細については、Connected Threat Defenseを使用した脅威の検出を参照してください。

挙動監視

挙動監視を使用すると、不正プログラムおよびランサムウェアの検出率および駆除率が向上します。この設定を適用すると、パターンファイルとの照合による不正プログラムの検出にとどまらず、パターンファイルにまだ追加されていない新たな不正プログラムを含んでいる可能性がある不審なファイル (ゼロデイ攻撃) も特定できます。

  • 不審なアクティビティ/不正な変更 (ランサムウェアを含む) を検出する: 挙動監視による不正プログラム/ランサムウェア検索の強化で説明した脅威の検出、攻撃コード対策、ランサムウェア検出の各機能を有効にします。
  • ランサムウェアによって暗号化されたファイルをバックアップおよび復元する: このオプションを選択すると、ファイルの暗号化がランサムウェアプロセスによるものである場合に備えて、暗号化されたファイルのバックアップコピーが作成されます。

スパイウェアとグレーウェア

[スパイウェア/グレーウェア対策を有効にする] を選択すると、スパイウェア検索エンジンによってスパイウェアとグレーウェアが検索され、不審なファイルが隔離されます。

IntelliTrap

[IntelliTrapの有効化] オプションはリアルタイム検索でのみ使用できます。ウイルス作成者は、リアルタイム圧縮アルゴリズムを使用して、ウイルスフィルタを回避しようとすることがあります。IntelliTrapは、リアルタイムの圧縮済み実行ファイルをブロックし、他の不正プログラムの特性とファイルを組み合わせて、ユーザのネットワークに入り込むというようなウイルスのリスクを減らすのに役立っています

IntelliTrapはそのようなファイルをセキュリティ上の危険として特定するため、IntelliTrapを有効にすると、安全なファイルを (削除や駆除ではなく) 隔離したり、間違ってブロックする場合があります。ユーザがリアルタイムで圧縮した実行可能ファイルを頻繁にやり取りする場合は、IntelliTrapを無効にしてください。IntelliTrapは、ウイルス検索エンジン、IntelliTrapパターンファイル、およびIntelliTrap除外パターンファイルを使用します。

プロセスメモリ検索

不正プログラムの作成者は、カスタマイズしたパケットを使用してファイルベースの不正プログラム対策エンジンを欺き、検出を逃れることがよくあります。標準的なウイルスパターンファイルはバイナリのマシンコードで作成されていますが、このマシンコードはパッキングツールを使用して再パックすることが可能です。従来の不正プログラム検出のほとんどはウイルス署名に基づいているため、ウイルスのマシンコードを再パックすることで検出をすり抜けることができます。

[プロセスメモリ内の不正プログラムを検索する] を選択すると、Deep Securityはプロセスメモリをリアルタイムで監視します。不審なプロセスを検出すると、Trend Micro Smart Protection Networkと連携した追加のチェックを実行し、既知の不正なプロセスであるかどうかを判別します。不正と判別された場合、プロセスは強制終了されます。

アラート

不正プログラム検索設定でイベントがトリガされるたびにDeep Securityでアラートを発令するには、[この不正プログラム検索設定でイベントが記録されたときにアラートを発令する] を選択します。

検索対象

検索対象ディレクトリ: 不正プログラムの検索を行うディレクトリを指定します。すべてのディレクトリを選択するか、定義済みのディレクトリリストを選択できます。

検索するファイル: 不正プログラムの検索を行うファイルを指定します。[すべてのファイル][トレンドマイクロの推奨設定で検索されるファイルタイプ] のどちらかを選択するか、定義済みの [ファイル拡張子リスト] (リスト内で定義されている拡張子に当てはまるすべてのファイルを検索) から選択します。

トレンドマイクロの推奨設定では、感染しやすいファイルの種類 (.zipや.exeなど) のみを検索します。IntelliScanでは、ファイルの種類はファイル拡張子から判断するのではなく、ファイルのヘッダや内容を読み取ってそのファイルが検索対象かどうかを決定します。すべてのファイルを検索する場合に比べ、トレンドマイクロの推奨設定を使用すると検索するファイルの総数が削減されるため、パフォーマンスが向上します。

検索除外

特定のディレクトリ、ファイル、およびファイル拡張子を、検索から除外することができます。たとえば、Microsoft Exchange Serverの不正プログラム検索設定を作成する場合は、不正プログラムであることがすでに確認されているファイルが再検索されないように、InterScan for Microsoft Exchangeの隔離フォルダを除外します。

Deep Security Managerで使用されているデータベースサーバ上で不正プログラム検索を実行する場合は、データディレクトリを除外します。Deep Security Managerは、データベースの破損を引き起こすウイルスが含まれている可能性のある侵入防御データを取り込み、格納します。このウイルスは、Deep Security Agentによる隔離の対象となる可能性があります。
ディレクトリの検索除外設定では、WindowsとLinuxの両方の命名規則をサポートするため、スラッシュ (/) とバックスラッシュ (\) の区別はありません。

ファイルの除外をテストする

不正プログラム対策の設定手順を進める前に、ファイルの除外が正しく動作することをテストします。

開始前に、リアルタイム検索が有効になっており、各項目が設定されていることを確認してください。詳細については、必要な検索の種類を選択するを参照してください。
  1. [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
  2. [新規]→[新規の不正プログラムのリアルタイム検索設定] をクリックします。
  3. [検索除外] タブに移動し、ディレクトリリストから [新規] を選択します。
  4. ディレクトリリストの名前を指定します。
  5. [ディレクトリ] で、検索から除外するディレクトリのパスを指定します。たとえば、c:\Test Folder\のように指定します。[OK] をクリックします。
  6. [一般] タブに移動し、手動検索の名前を指定して [OK] をクリックします。
  7. テストファイルをEICARのダウンロードページからダウンロードします。 前の手順で指定したフォルダにファイルを保存します。保存したファイルが不正プログラム対策モジュールで検出されないことを確認します。

検索対象から除外するディレクトリリストを定義するための構文は次のとおりです。

検索除外 形式 説明
ディレクトリ DIRECTORY 指定したディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。 C:\Program Files\
「Program Files」ディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。
ワイルドカード (*) を使用したディレクトリ DIRECTORY\*\ 任意のサブディレクトリ名を持つすべてのサブディレクトリを除外します。ただし、指定したディレクトリにあるファイルは除外しません。 C:\abc\*\
「abc」のすべてのサブディレクトリにあるファイルをすべて除外します。ただし、「abc」ディレクトリにあるファイルは除外しません。

C:\abc\wx*z\
対象:
C:\abc\wxz\
C:\abc\wx123z\
対象外:
C:\abc\wxz
C:\abc\wx123z

C:\abc\*wx\
対象:
C:\abc\wx\
C:\abc\123wx\
対象外:
C:\abc\wx
C:\abc\123wx
ワイルドカード (*) を使用したディレクトリ DIRECTORY\* 一致する名前を持つ任意のサブディレクトリを除外します。ただし、そのディレクトリにあるファイルおよび任意のサブディレクトリは除外しません。 C:\abc\*
対象:
C:\abc\
C:\abc\1
C:\abc\123
対象外:
C:\abc
C:\abc\123\
C:\abc\123\456
C:\abx\
C:\xyz\

C:\abc\*wx
対象:
C:\abc\wx
C:\abc\123wx
対象外:
C:\abc\wx\
C:\abc\123wx\

C:\abc\wx*z
対象:
C:\abc\wxz
C:\abc\wx123z
対象外:
C:\abc\wxz\
C:\abc\wx123z\

C:\abc\wx*
対象:
C:\abc\wx
C:\abc\wx\
C:\abc\wx12
C:\abc\wx12\345\
C:\abc\wxz\
対象外:
C:\abc\wx123z\
環境変数 ${ENV VAR} ${ENV VAR} の形式を使用した環境変数で定義されるすべてのファイルおよびサブディレクトリを除外します。Virtual Applianceの場合は、環境変数の値のペアをポリシーエディタまたはコンピュータエディタの [設定]→[一般]→[環境変数のオーバーライド] で定義する必要があります。 ${windir}
変数が「c:\windows」に変換された場合、「c:\windows」とそのすべてのサブディレクトリにあるファイルをすべて除外します。
コメント DIRECTORY #コメント 除外の定義にコメントを追加できます。 c:\abc #abcディレクトリを除外します

検索対象から除外するファイルリストを定義するための構文は次のとおりです。

検索除外 形式 説明
ファイル FILE 場所やディレクトリに関係なく、指定したファイル名を持つすべてのファイルを除外します。 abc.doc
すべてのディレクトリで「abc.doc」という名前のファイルをすべて除外します。「abc.exe」は除外しません。
ファイルパス FILEPATH ファイルパスで指定した特定のファイルを除外します。 C:\Documents\abc.doc
「Documents」ディレクトリの「abc.doc」という名前のファイルのみ除外します。
ワイルドカード (*) を使用したファイルパス FILEPATH ファイルパスで指定した特定のファイルをすべて除外します。 C:\Documents\abc.co* (Windows Agentプラットフォームのみ) 「Documents」ディレクトリにある、ファイル名が「abc」で拡張子が「.co」で始まるファイルを除外します。
ワイルドカード (*) を使用したファイル FILE* ファイル名のパターンに一致するすべてのファイルを除外します。 abc*.exe
接頭語が「abc」で拡張子が「.exe」のファイルを除外します。

*.db
対象:
123.db
abc.db
対象外:
123db
123.abd
cbc.dba

*db
対象:
123.db
123db
ac.db
acdb
db
対象外:
db123

wxy*.db
対象:
wxy.db
wxy123.db
対象外:
wxydb
ワイルドカード (*) を使用したファイル FILE.EXT* ファイルの拡張子のパターンに一致するすべてのファイルを除外します。 abc.v*
ファイル名が「abc」で拡張子が「.v」で始まるファイルを除外します。

abc.*pp
対象:
abc.pp
abc.app
対象外:
wxy.app

abc.a*p
対象:
abc.ap
abc.a123p
対象外:
abc.pp

abc.*
対象:
abc.123
abc.xyz
対象外:
wxy.123
ワイルドカード (*) を使用したファイル FILE*.EXT* ファイル名と拡張子のパターンに一致するすべてのファイルを除外します。 a*c.a*p
対象:
ac.ap
a123c.ap
ac.a456p
a123c.a456p
対象外:
ad.aa
環境変数 ${ENV VAR} ${ENV VAR} の形式を使用した環境変数で指定されるファイルを除外します。環境変数は、ポリシーエディタまたはコンピュータエディタの [設定]→[一般]→[環境変数のオーバーライド] で定義またはオーバーライドできます。 ${myDBFile}
「myDBFile」ファイルを除外します。
コメント FILEPATH #コメント 除外の定義にコメントを追加できます。 C:\Documents\abc.doc #これはコメントです

検索対象から除外するファイル拡張子リストを定義するための構文は次のとおりです。

検索除外 形式 説明
ファイル拡張子 EXT 一致する拡張子を持つすべてのファイルを除外します。 doc
すべてのディレクトリの「.doc」という拡張子を持つファイルをすべて除外します。
コメント EXT #コメント 除外の定義にコメントを追加できます。 doc #これはコメントです

検索対象から除外するプロセスイメージファイルリストを定義するための構文は次のとおりです (リアルタイム検索のみ)。

検索除外 形式 説明
ファイルパス FILEPATH ファイルパスで指定した特定のプロセスイメージファイルを除外します。 C:\abc\file.exe
「abc」ディレクトリの「file.exe」という名前のファイルのみ除外します。

詳細

リアルタイム検索

ファイルの読み取り時、書き込み時、またはそのどちらでもファイルを検索するかを選択します。

圧縮ファイルの検索

不正プログラム検索で圧縮ファイル (.zipファイルなど) を検索する場合は、[圧縮ファイルの検索] を選択します。続いて、以下のオプションを設定できます。

  • 解凍した個別ファイルの最大サイズ: 検索する圧縮アーカイブ内にある個別ファイルの最大サイズです。
    複数の圧縮階層を持つ、サイズの大きなファイルを検索すると、パフォーマンスに影響を及ぼす可能性があります。
  • 最大圧縮レイヤ: ファイルまたはファイルのグループは、複数回圧縮することができます。このオプションを使用すると、Deep Securityでどの圧縮レベルまで検索するかを指定できます。
  • 解凍するファイルの最大数:圧縮アーカイブから解凍して検索するファイルの最大数です。

埋め込みのMicrosoft Officeオブジェクトを検索する

Microsoft Officeの特定のバージョンでは、Object Linking and Embedding (OLE) を使用してOfficeファイルにファイルやその他のオブジェクトを挿入します。これらの埋め込みオブジェクトには、不正なコードが含まれている場合があります。これらの埋め込みオブジェクトを検索するには、[埋め込みのMicrosoft Officeオブジェクトを検索する] を選択します。

次に、検索するOLE層の数を指定できます。埋め込みオブジェクトは他のオブジェクトを含めることができるため、1つのOfficeファイルの中に複数の層が含まれることがあります。パフォーマンスへの影響を軽減するため、各ファイル内の埋め込みオブジェクトの層をいくつかだけ検索するように選択できます。

修復処理

ほとんどの場合、推奨される初期設定の修復処理でもんだりありません。ただし、Deep Securityで不正プログラムが検出された際の処理をカスタマイズする場合は、[カスタム] を選択します。[トレンドマイクロの推奨処理を使用][カスタム処理を使用] (後から定義可能) のどちらかを指定できます。

[トレンドマイクロ推奨の修復処理を使用] を選択すると、不正プログラムの検出時に実行する処理がDeep Securityで自動的に選択されます。 トレンドマイクロの推奨処理は、不正プログラムの各カテゴリ用に最適化された一連の定義済みのクリーンナップ処理です。個々の検出を適切に処理するため、トレンドマイクロの推奨処理内のアクションは随時調整されます。

AgentでアップデートサーバまたはRelayからウイルスパターンファイルのアップデートをダウンロードすると、それに応じてトレンドマイクロの推奨処理が変わることがあります。

次の表は、トレンドマイクロの推奨処理を選択した場合に実行される処理の一覧です。

不正プログラムの種類 リアルタイム検索 手動/予約検索 備考
ウイルス 駆除 駆除 ウイルスは、正常なファイルに不正コードを挿入することによって感染します。通常は、感染したファイルを開くと不正なコードが自動的に実行され、他のファイルを感染させるだけでなく、ペイロードが配信されます。一般的なウイルスの種類には、COMおよびEXE感染型ウイルス、マクロウイルス、システム領域感染型ウイルスなどがあります。
トロイの木馬 隔離 隔離 トロイの木馬は非感染型の不正プログラム実行可能ファイルで、ファイルを感染させる機能はありません。
パッカー 隔離 隔離 パッカーは圧縮され暗号化された実行可能プログラムです。不正プログラムの作者は、検出を免れるために、既存の不正プログラムを何重にも圧縮または暗号化することがあります。不正プログラム対策は、実行可能ファイル内に不正プログラムに関連付けられた圧縮パターンがないか検索します。
スパイウェア 隔離 隔離 グレーウェアは、正当なものである場合もありますが、スパイウェアに似た不要な動作をするソフトウェアです。
CVE攻撃コード 隔離 隔離 「既知の脆弱性に対する攻撃コードのみを検索する」設定に関連しています。この設定では高い精度で有効な脆弱性が検出されるため、初期設定では隔離の処理が実行されます。
アグレッシブ検出ルール 放置 放置 「既知の脆弱性に対する攻撃に加え、未知の攻撃コードも積極的に検索する」設定に関連しています。この設定を使用すると、より多くの問題が検出されますが、誤判定も増えます。そのため、初期設定ではイベントを発生させるのみで隔離は行われません。
Cookie なし 削除 Cookieは、Webブラウザに保存されるテキストファイルで、HTTP要求のたびにWebサーバに返されます。Cookieには認証情報や設定が保存されていますが、感染サーバがからの持続型攻撃の場合、それらに紛れてSQLインジェクションやXSSなどの攻撃コードが含まれている可能性があります。
その他の脅威 駆除 駆除 その他の脅威のカテゴリには、偽の通知を表示したり、画面の動作を操作したりする、一般に実害のないジョークプログラムが含まれます。
潜在的な不正プログラム トレンドマイクロの推奨処理 トレンドマイクロの推奨処理 潜在的な不正プログラムとは、疑わしいが、特定の不正プログラムの変異形として分類できないファイルのことです。トレンドマイクロでは、ファイルの詳細な分析についてサポート担当者にお問い合わせいただくことをお勧めします。

また、[カスタム処理を使用] を選択して、不正プログラムの検出時に実行する一連の処理を手動で指定することもできます。感染ファイルが見つかった場合、Deep Securityが実行できる処理には次の5つがあります。

  • 放置: 感染ファイルに何も行わず、そのファイルへのフルアクセスを許可する(不正プログラム対策イベントはログに記録されます)。
  • 駆除: ファイルへのフルアクセスを許可する前に、駆除可能なファイルを駆除する(潜在的な不正プログラムには使用できません)。
  • 削除: 感染ファイルを削除する。
  • アクセス拒否: この検索処理はリアルタイム検索中にのみ実行されます。Deep Securityは、感染ファイルを開いたり実行しようとしたりする動きを検出すると、すぐにその処理をブロックします。手動/予約検索で「アクセス拒否」オプションが選択された不正プロクラム検索設定が使用されている場合、「放置」処理が適用され、不正プログラム対策イベントがログに記録されます。
  • 隔離: コンピュータまたはVirtual Appliance上の隔離ディレクトリにファイルを移動する (隔離後は、任意の場所にファイルをダウンロードできます。詳細については、検出ファイルを参照してください)。

ネットワークディレクトリ検索

ネットワーク共有内およびマッピングされているネットワークドライブ内のファイルやフォルダを検索する場合は、[ネットワークディレクトリ検索を有効にする] を選択します。このオプションはリアルタイム検索でのみ使用できます。

GVFS (GNOMEデスクトップで利用できる仮想ファイルシステム) を通じて「~/.gvfs」でアクセスされるリソースは、ネットワークドライブではなくローカルリソースとして扱われます。

CPU使用率

Deep Security Agentコンピュータで検索に割り当てるCPUリソースを指定します。

  • 高: 一時停止せずに、ファイルを次々に検索する
  • 中: ファイル検索の間に、一時停止処理を行う
  • 低: ファイル検索の間に、「中」よりも長い時間一時停止処理を行う

割り当て対象

この不正プログラム検索設定を使用しているポリシーとコンピュータを示します。