不正プログラムの防止

Deep Security不正プログラム対策モジュールには、不正プログラム、ウイルス、トロイの木馬、スパイウェアなどのファイルベースの脅威からAgentコンピュータをリアルタイムに保護する機能と、必要に応じて保護する機能があります。この不正プログラム対策モジュールでは、脅威を特定するために、ローカルハードドライブ上のファイルを包括的な脅威データベースに対して照合します。また、圧縮や既知の攻撃コードなど、特定の特性がないかについても確認します。

脅威データベースの一部はTrend Microサーバにホストされたり、パターンファイルとしてローカルに保存されます。Deep Security Agentは、最新の脅威からも保護できるよう、不正プログラム対策パターンファイルとアップデートを定期的にダウンロードします。

Deep Security Agentを新規にインストールした場合、アップデートサーバに接続して不正プログラム対策パターンファイルとアップデートをダウンロードするまで、不正プログラム対策保護は有効になりません。Deep Security Agentのインストール後に、Deep Security Relayまたはトレンドマイクロのアップデートサーバと通信できることを確認してください。

不正プログラム対策モジュールでは、脅威を排除しつつ、システムパフォーマンスへの影響は最小限に抑えます。不正なファイルは、駆除、削除、または隔離できます。特定した脅威に関連付けられているプロセスを終了したり、他のシステムオブジェクトを削除することもできます。

不正プログラム対策モジュールをオンにして設定するには、不正プログラム対策の有効化と設定を参照してください。

不正プログラム検索の種類

不正プログラム対策モジュールでは、さまざまな種類の検索を実行します。実行する検索の種類を選択するも参照してください。

リアルタイム検索

受信、開く、ダウンロード、コピー、編集などの処理が行われるたびに、そのファイルにセキュリティ上のリスクがないかどうかが検索されます。セキュリティ上のリスクが検出されなかった場合、ファイルは現在の場所にそのまま残され、ユーザはファイルにアクセスできます。セキュリティ上のリスクが検出された場合、感染ファイルの名前と具体的なセキュリティ上のリスクの内容を示す通知メッセージが表示されます。

リアルタイム検索は、[スケジュール] オプションで別の期間を設定した場合を除き、継続的に有効になります。

リアルタイム検索は、ファイルサーバでファイルのバックアップが予約されているときなど、パフォーマンスへの影響が大きいときを避けて実行するように設定できます。

この検索は、不正プログラム対策モジュールでサポートされるすべてのプラットフォームで実行できます。

手動検索

コンピュータ上のすべてのプロセスとファイルを対象にフルシステム検索が実行されます。検索に要する時間は、検索するファイル数と、コンピュータのハードウェアリソースに応じて異なります。手動検索はクイック検索より時間がかかります。

手動検索は、[不正プログラムのフル検索] をクリックしたときに実行されます。

この検索は、不正プログラム対策モジュールでサポートされるすべてのプラットフォームで実行できます。

予約検索

設定した日時に自動的に実行されます。予約検索を使用して日々の検索を自動化することで、検索をより効率的に管理できます。

予約検索は、予約タスク ([管理]→[予約タスク]) を使用して [コンピュータの不正プログラムを検索] タスクを作成したときに指定した日時に実行されます。

この検索は、不正プログラム対策モジュールでサポートされるすべてのプラットフォームで実行できます。

クイック検索

コンピュータの重大なシステム領域で、現在アクティブな脅威の検索のみが実行されます。クイック検索では、現在アクティブな不正プログラムが検索されますが、活動のない、または保存されている感染ファイルを検索するためにファイルが詳細に検索されることはありません。大容量のドライブでは、フル検索よりも短時間で終了します。クイック検索は設定できません。

クイック検索は、[不正プログラムのクイック検索] をクリックしたときに実行されます。

クイック検索を実行できるのは、Windowsコンピュータのみです。

検索されるオブジェクトと順序

次の表は、検索の種類ごとに、検索されるオブジェクトと検索の順序を示しています。

対象 フル検索 (手動または予約) クイック検索
ドライバ 1 1
トロイの木馬 2 2
プロセスイメージ 3 3
メモリ 4 4
ブートセクタ 5 -
ファイル 6 5
スパイウェア 7 6

不正プログラム検索設定

不正プログラム検索設定は、不正プログラム検索の動作を制御する一連のオプションです。ポリシーを使用して不正プログラム対策を設定したり、特定のコンピュータに対して不正プログラム対策を設定するときは、使用する不正プログラム検索設定を選択します。不正プログラム検索設定は複数作成でき、コンピュータグループによって検索要件が異なる場合はポリシーの異なる設定を使用できます。

リアルタイム検索、手動検索、および予約検索では、すべて不正プログラム検索設定を使用します。Deep Securityでは、検索の種類ごとに不正プログラム検索の初期設定が用意されています。これらの検索設定は、セキュリティポリシーの初期設定に使用されます。検索の初期設定をそのまま使用することも、変更することも、独自の設定を作成することもできます。

クイック検索は設定できないため、不正プログラム検索設定を使用しません。

検索の対象または対象外となるファイルやディレクトリ、またコンピュータで不正プログラムが検出された場合の処理 (駆除、隔離、削除など) を指定できます。

詳細については、不正プログラム検索の設定を参照してください。

不正プログラムイベント

Deep Securityで不正プログラムが検出されると、イベントログに表示されるイベントがトリガされます。イベントログでは、イベントに関する情報を確認したり、誤判定の場合のファイルの例外を作成したりできます。また、実際には安全な隔離ファイルを復元することもできます。(不正プログラム対策イベント不正プログラムの処理を参照。)

スマートスキャン

スマートスキャンでは、トレンドマイクロのサーバに保存されている脅威シグニチャが使用されます。スマートスキャンには次のメリットがあります。

  • セキュリティステータスの検索をクラウドベースで高速かつリアルタイムに実行
  • 脅威からの保護にかかる合計時間を削減
  • パターンファイルのアップデート時に使用されるネットワーク帯域幅を削減 (パターン定義のアップデートの大半は、クラウドで保持され、多数のコンピュータへの配信は不要)
  • 企業全体へのパターン展開のコストとオーバーヘッドを削減
  • コンピュータにおけるカーネルのメモリ消費を削減 (メモリ消費量の増加を最小限に抑制)

スマートスキャンを使用すると、まず、ローカルで保持しているパターンファイルにより検索が行われます。そこでファイルの危険性を評価できなかった場合は、ローカルのSmart Protection Serverに接続します。ローカルのSmart Protection Serverでも危険性を評価できなかった場合は、トレンドマイクロのGlobal Smart Protectionサービスに接続します。この機能の詳細については、Deep SecurityのSmart Protectionを参照してください。

機械学習型検索

Deep Securityは、機械学習型検索により、未知の脅威とゼロデイ攻撃に対する不正プログラム対策保護を強化します。トレンドマイクロの機械学習型検索では、デジタルDNAフィンガープリント、APIマッピング、その他のファイル機能を使用して、高度な機械学習技術により脅威情報を関連付け、詳細なファイル分析を実行することで新たなセキュリティリスクを検出します。

機械学習型検索は、フィッシングやスピアフィッシングなどの手法を用いた標的型攻撃によるセキュリティ侵害に対する保護に効果的です。これらのケースでは、特定の環境を標的に設計された不正プログラムが従来の不正プログラム検索の手法をすり抜ける場合があります。

Deep Securityはリアルタイムスキャン中に不明なファイルや感染率の低いファイルを検出すると、高度な脅威検索エンジン (ATSE) を使用してファイルを検索し、ファイルの機能を抽出します。このレポートは、Trend Micro Smart Protection Networkでホストされる機械学習型検索エンジンに送信されます。機械学習型検索は、不正プログラムモデリングを使用してサンプルを不正プログラムモデルと比較し、脅威の可能性スコアを割り当て、ファイルに含まれる可能性がある不正プログラムの種類を特定します。

ファイルが脅威として認識された場合、Deep Securityはファイルを隔離し、脅威がネットワーク全体に広がり続けることを防ぎます。

機械学習型検索の使用方法の詳細については、機械学習型検索を使用した脅威の検出を参照してください。

不正プログラムの種類

不正プログラム対策モジュールは、多数のファイルベースの脅威から保護します。特定の種類の不正プログラムを検索する不正プログラムの処理方法を設定するも参照してください。

ウイルス

ウイルスは、ファイルに不正コードを挿入することによって感染します。通常は、感染したファイルを開くと不正なコードが自動的に実行され、他のファイルを感染させるだけでなく、ペイロードが配信されます。次に、一般的なウイルスをいくつか示します。

  • COMおよびEXE感染型ウイルス: 一般的に.COMや.EXEの拡張子が付いている、DOSおよびWindows実行可能ファイルに感染します。
  • マクロウイルス: 不正マクロを挿入することで、Microsoft Officeファイルを感染させます。
  • システム領域感染型ウイルス: OSを起動させるために必要な情報が格納されているハードディスクドライブの領域に感染します。

不正プログラム対策モジュールでは、感染ファイルを特定して駆除するために、さまざまな技術を使用しています。最もよく行われる方法は、ファイルの感染に使用される実際の不正コードを検出し、感染ファイルからこのコードを取り除くことです。その他にも、感染する可能性のあるファイルへの変更を規制する方法や、不審な変更が適用される場合にファイルをバックアップする方法などがあります。

トロイの木馬

一部の不正プログラムは、その他のファイルにコードを挿入することによって拡散する方法を採りません。代わりに別の方法を採ったり、別の影響を及ぼします。

  • トロイの木馬: トロイの木馬の神話のように、ファイルを開いたときに実行されてシステムに感染する不正プログラムファイル。
  • バックドア: ポート番号を開いて権限のないリモートユーザに感染システムへのアクセスを許可する不正プログラムアプリケーション。
  • ワーム: ネットワークを使用してシステム間で伝幡する不正プログラム。ワームは人目を引くメールメッセージ、インスタントメッセージ、または共有ファイルを介したソーシャルエンジニアリングを利用して伝幡します。また、アクセス可能なネットワーク共有に自身をコピーし、脆弱性を突いて別のコンピュータに広がります。
  • ネットワークウイルス: ファイルベースではない、メモリまたはパケット上のみに存在する不正プログラム。不正プログラム対策ではネットワークウイルスを検出または削除できません。
  • ルートキット: OSのコンポーネントの呼び出しを操作するファイルベースの不正プログラム。監視やセキュリティソフトウェアなどのアプリケーションでは、ファイルのリスト作成や実行中のプロセスの特定など、非常に基本的な機能を呼び出す必要があります。これらの呼び出しを操作することによって、ルートキットは自身の存在や、その他の不正プログラムの存在を隠すことができます。

パッカー

パッカーは圧縮され暗号化された実行可能プログラムです。不正プログラムの作者は、検出を免れるために、既存の不正プログラムを何重にも圧縮または暗号化することがあります。不正プログラム対策は、実行可能ファイル内に不正プログラムに関連付けられた圧縮パターンがないか検索します。

スパイウェア/グレーウェア

スパイウェアおよびグレーウェアは、別のシステムに送信するための情報や、別のアプリケーションで収集された情報を収集するアプリケーションおよびコンポーネントです。スパイウェア/グレーウェアの検出では、不正と思われる動作だけでなく、リモート監視のような合法的な目的に使用されるアプリケーションまで検出されることがあります。スパイウェア/グレーウェアアプリケーションの中で、既知の不正プログラムチャネルを通して配布されるものなど、もともと不正な性質を帯びているものは、一般にスパイウェア/グレーウェアではなく「トロイの木馬」として検出されます。

スパイウェアおよびグレーウェアアプリケーションは、通常、次のように分類されます。

  • スパイウェア: 個人情報を収集および送信する目的でコンピュータにインストールされたソフトウェア。
  • ダイヤラー: 不正プログラムであるダイヤラーは、接続の設定先を変更して、ユーザの予期しない料金を発生させるように設計されています。ダイヤラーの中には、個人情報を送信したらり、不正プログラムソフトウェアをダウンロードしたりするものもあります。
  • ハッキングツール: コンピュータシステムへの不正アクセスを支援するために設計されたプログラムまたはプログラムのセット。
  • アドウェア: 広告を自動的に再生、表示、またはダウンロードするソフトウェアパッケージ。
  • Cookie: Webブラウザによって保存されるテキストファイル。Cookieには認証情報やサイトの設定など、Webサイトに関するデータが含まれています。Cookieは実行可能ファイルではないため感染することはありませんが、スパイウェアとして使用される可能性があります。合法的なWebサイトから送信されたCookieも、不正な目的に使用されることがあります。
  • キーロガー: ユーザのキー入力を記録して、パスワードやその他の秘密情報を盗むソフトウェア。キーロガーの中には、リモートシステムにログを送信するものがあります。

グレーウェアの定義

スパイウェアのようなアプリケーションの中には、押しつけがましい動作を示すものの、不正ではないとみなされるものがあります。たとえば、市販のリモート制御および監視アプリケーションの中には、システムイベントを追跡および収集して、これらのイベントに関する情報を別のシステムに送信するものがあります。システム管理者などのユーザが自ら、これらの合法的なアプリケーションをインストールしている場合があります。これらのアプリケーションを「グレーウェア」と言います。

不正プログラム対策モジュールでは、グレーウェアの不正使用を防止するためにグレーウェアを検出します。ただし、検出されたアプリケーションを「承認」して、実行を許可することができます。

Cookie

Cookieは、Webブラウザに保存されるテキストファイルで、HTTP要求のたびにWebサーバに返されます。Cookieには認証情報や設定が保存されていますが、感染サーバがからの持続型攻撃の場合、それらに紛れてSQLインジェクションやXSSなどの攻撃コードが含まれている可能性があります。

その他の脅威

その他の脅威は、どのタイプにも分類されない不正プログラムなどです。このカテゴリには、偽の通知を表示したり、画面の動作を操作したりする、一般に実害のないジョークプログラムが含まれます。

潜在的な不正プログラム

潜在的な不正プログラムとは、疑わしいが、特定の不正プログラムの変異形として分類できないファイルのことです。初期設定では、これらの検出結果がログに記録され、ファイルは分析用に匿名でトレンドマイクロに送信されます。