Deep Securityで対応できる不正プログラムの種類

不正プログラム対策機能の紹介や推奨設定方法についての情報は、次のWebサイトでまとめて確認できます。環境の構築を始める前に参照すると、動作不調のリスク軽減および安定性の向上に役立てることができます。
https://success.trendmicro.com/jp/solution/000286756

Deep Security不正プログラム対策モジュールには、不正プログラム、ウイルス、トロイの木馬、スパイウェアなどのファイルベースの脅威からリアルタイムに保護する機能と、管理者の要求に応じて保護する機能があります。このモジュールでは、脅威を特定するために、トレンドマイクロのサーバにホストされている、またはアップデート可能なパターンファイルとしてローカルに保管されている包括的な脅威データベースに対してファイルを照合します。また、圧縮や既知の攻撃コードなど、特定の特性がないかについても確認します。

脅威への対処は、脅威を処理するのか、それとも処理から除外するのかを選択することによって、システムへの影響を最小限に抑えます。不正なファイルは、駆除、削除、または隔離できます。特定した脅威に関連付けられているプロセスを終了したり、他のシステムオブジェクトを削除することもできます。

Deep Security Agentを新規にインストールした場合、アップデートサーバに接続して不正プログラム対策パターンファイルとアップデートをダウンロードするまで、不正プログラム対策保護は有効になりません。Deep Security Agentのインストール後に、Deep Security Relayまたはトレンドマイクロのアップデートサーバと通信できることを確認してください。

不正プログラムの種類

不正プログラム対策モジュールは、次を含むさまざまな種類のファイルベースの脅威から保護します。

ウイルス (ファイル感染型)

ウイルスは、正常なファイルに不正コードを挿入することによって感染します。通常は、感染したファイルを開くと不正なコードが自動的に実行され、他のファイルを感染させるだけでなく、ペイロードが配信されます。次に、一般的なウイルスをいくつか示します。

  • COMおよびEXE感染型ウイルス: 一般的に.COMや.EXEの拡張子が付いている、DOSおよびWindows実行可能ファイルに感染します。
  • マクロウイルス: 不正マクロを挿入することで、Microsoft Officeファイルを感染させます。
  • システム領域感染型ウイルス: OSを起動させるために必要な情報が格納されているハードディスクドライブの領域に感染します。

不正プログラム対策モジュールでは、感染ファイルを特定して駆除するために、さまざまな技術を使用しています。最もよく行われる方法は、ファイルの感染に使用される実際の不正コードを検出し、感染ファイルからこのコードを取り除くことです。その他にも、感染する可能性のあるファイルへの変更を規制する方法や、不審な変更が適用される場合にファイルをバックアップする方法などがあります。

トロイの木馬とその他

一部の不正プログラムは、他のファイルにコードを挿入して拡散することはありません。その代わり、別の方法で悪影響を及ぼします。例は次のとおりです。

  • トロイの木馬: 開くと実行され、システムに感染する不正プログラムファイル (神話に登場するトロイの木馬に由来)。
  • バックドア: ポート番号を開き、権限のないリモートユーザに感染システムへのアクセスを許可する不正プログラム。
  • ワーム: ネットワークを介してシステムからシステムへと拡散していく不正プログラム。ワームは人目を引くメールメッセージ、インスタントメッセージ、または共有ファイルを介したソーシャルエンジニアリングを利用して伝幡します。また、アクセス可能なネットワーク共有に自身をコピーし、脆弱性を突いて別のコンピュータに広がります。
  • ネットワークウイルス: ファイルベースではない、メモリまたはパケット上のみに存在する不正プログラム。不正プログラム対策ではネットワークウイルスを検出または削除できません。
  • ルートキット: OSのコンポーネントの呼び出しを操作するファイルベースの不正プログラム。監視やセキュリティソフトウェアなどのアプリケーションでは、ファイルのリスト作成や実行中のプロセスの特定など、非常に基本的な機能を呼び出す必要があります。これらの呼び出しを操作することによって、ルートキットは自身の存在や、その他の不正プログラムの存在を隠すことができます。

スパイウェア/グレーウェア

スパイウェア/グレーウェアは、別のシステムに送信するための情報や、別のアプリケーションで収集された情報を収集するアプリケーションおよびコンポーネントです。スパイウェア/グレーウェアの検出では、不正と思われる動作だけでなく、リモート監視のような合法的な目的に使用されるアプリケーションまで検出されることがあります。スパイウェア/グレーウェアアプリケーションの中で、既知の不正プログラムチャネルを通して配布されるものなど、もともと不正な性質を帯びているものは、一般にスパイウェア/グレーウェアではなく「トロイの木馬」として検出されます。

スパイウェア/グレーウェアアプリケーションは、通常、次のように分類されます。

  • スパイウェア: 個人情報を収集および送信する目的でコンピュータにインストールされたソフトウェア。
  • ダイヤラー: 不正プログラムであるダイヤラーは、接続の設定先を変更して、ユーザの予期しない料金を発生させるように設計されています。ダイヤラーの中には、個人情報を送信したらり、不正プログラムソフトウェアをダウンロードしたりするものもあります。
  • ハッキングツール: コンピュータシステムへの不正アクセスを支援するために設計されたプログラムまたはプログラムのセット。
  • アドウェア: 広告を自動的に再生、表示、またはダウンロードするソフトウェアパッケージ。
  • Cookie: Webブラウザによって保存されるテキストファイル。Cookieには認証情報やサイトの設定など、Webサイトに関するデータが含まれています。Cookieは実行可能ファイルではないため感染することはありませんが、スパイウェアとして使用される可能性があります。合法的なWebサイトから送信されたCookieも、不正な目的に使用されることがあります。
  • キーロガー: ユーザのキー入力を記録して、パスワードやその他の秘密情報を盗むソフトウェア。キーロガーの中には、リモートシステムにログを送信するものがあります。

グレーウェアの定義

スパイウェアのようなアプリケーションの中には、押しつけがましい動作を示すものの、不正ではないとみなされるものがあります。たとえば、市販のリモート制御および監視アプリケーションの中には、システムイベントを追跡および収集して、これらのイベントに関する情報を別のシステムに送信するものがあります。システム管理者などのユーザが自ら、これらの合法的なアプリケーションをインストールしている場合があります。これらのアプリケーションを「グレーウェア」と言います。

不正プログラム対策モジュールでは、グレーウェアの不正使用を防止するためにグレーウェアを検出します。ただし、検出されたアプリケーションを「承認」して、実行を許可することができます。

パッカー

圧縮または暗号化された実行可能プログラム。不正プログラムの作者は、検出を免れるために、既存の不正プログラムを何重にも圧縮または暗号化することがあります。<不正プログラムからの保護> は、実行可能ファイル内に不正プログラムに関連付けられた圧縮パターンがないか検索します。

不正プログラムの可能性があるファイル

不正プログラムの可能性があるとして検出されるファイルは、通常、未知の不正プログラムコンポーネントです。初期設定では、これらの検出結果がログに記録され、ファイルは分析用に匿名でトレンドマイクロに送信されます。

その他の脅威

「その他の脅威」は、どのタイプにも分類されない不正プログラムなどです。このカテゴリには、偽の通知を表示したり、画面の動作を操作したりする、一般に実害のないジョークプログラムが含まれます。