本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

挙動監視による不正プログラム/ランサムウェア検索の強化

Deep Securityは、Deep Securityエージェントによって保護されているWindowsおよびLinuxマシンに適用できるセキュリティ設定を提供し、不正プログラムやランサムウェアの検出およびクリーン率を向上させます。これらの設定により、不正プログラムのパターンマッチングを超えて、まだ不正プログラム対策パターンに追加されていない新たな不正プログラムを含む可能性のある疑わしいファイルを特定することができます (ゼロデイ攻撃として知られています)。

このページの内容:

• 強化された検索保護
• 強化された検索を有効にする
• 強化スキャンで検出された問題に対処する
• Agentをインターネットに直接接続できない場合の対処

不正プログラム対策モジュールの概要については、不正プログラム対策について を参照してください。

強化された検索保護

脅威の検出: 検出を回避するために、一部の不正プログラムはシステムファイルや既知のインストール済みソフトウェアに関連するファイルを変更しようとします。このような変更は、不正プログラムが正当なファイルの代わりをするため、見逃されることがよくあります。Deep Securityはシステムファイルやインストール済みソフトウェアをモニタし、不正な変更を検出して防止することができます。

アンチ攻撃コード: 不正プログラムの作成者は、信頼されたプロセスに特権アクセスを得て不正な活動を隠すために、ユーザーモードプロセスにフックする悪意のあるコードを使用することができます。不正プログラムの作成者は、昇格された特権を持つAPIを呼び出すDLLインジェクションを通じてユーザプロセスにコードを注入します。また、悪意のあるペイロードを供給してメモリ内でコード実行を引き起こすことにより、ソフトウェア攻撃コードへの攻撃を引き起こすこともできます。Deep Securityでは、アンチ攻撃コード機能が特定のプロセスによって通常行われないアクションを実行している可能性のあるプロセスを監視します。データ実行防止 (DEP)、構造化例外処理オーバーライト保護 (SEHOP)、およびヒープスプレー防止などの多くのメカニズムを使用して、Deep Securityはプロセスが侵害されたかどうかを判断し、その後さらなる感染を防ぐためにプロセスを終了させることができます。

拡張ランサムウェア対策: ランサムウェアはますます高度化し、標的型になっています。ほとんどの組織は、エンドポイントに不正プログラム対策を含むセキュリティポリシーを持っており、既知のランサムウェアの変種に対する一定の保護を提供します。しかし、新しい変種の発生を検出して防ぐには不十分な場合があります。Deep Securityが提供するランサムウェア対策は、文書の無許可の暗号化や変更から保護します。Deep Securityには、暗号化されているファイルのコピーを作成するオプションのデータ復旧エンジンも組み込まれており、ランサムウェアプロセスによって暗号化されたファイルを回復するための追加の機会をユーザに提供します。

強化された検索を有効にする

強化スキャンは、ポリシーまたは個々のコンピュータに適用される不正プログラム対策設定の一部として構成されています。不正プログラム対策の構成に関する情報については、不正プログラム対策の有効化と設定を参照してください。

これらの設定は、 Deep Security Agentで保護されているWindowsコンピュータおよびLinuxコンピュータにのみ適用できます。

強化スキャンは、負荷の高いアプリケーションを実行しているエージェントコンピュータのパフォーマンスに影響を与える可能性があります。強化スキャンを有効にしてDeep Securityエージェントを展開する前に、不正プログラム対策のパフォーマンスのヒントを確認してください。

最初に、不正プログラムのリアルタイム検索設定で、強化された検索を有効にします。

1. Deep Security Managerで、[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] の順に選択します。
2. 既存のリアルタイム検索設定をダブルクリックして編集します。不正プログラム検索設定の詳細については、不正プログラム検索と除外の設定を参照してください。
3. 一般タブの挙動監視で、挙動監視の有効化を選択します。
4. 実行するアクションを使用して、Deep Securityが不正プログラムを検出したときに実行する修復アクションを選択します
   • ActiveAction (推奨): ActiveActionが決定するアクションを使用します。ActiveActionは、各不正プログラムカテゴリに最適化された事前定義のクリーンアップアクションのグループです。トレンドマイクロは、個々の検出が適切に処理されるように、ActiveActionのアクションを継続的に調整しています。詳細については、トレンドマイクロの推奨処理を参照してください。
   • 許可: 感染ファイルに対して何もせずに完全なアクセスを許可します。不正プログラム対策イベントは引き続き記録されます。
5. 必要に応じて、ランサムウェアで暗号化されたファイルのバックアップと復元を選択します。このオプションを選択すると、Deep Securityはファイルがランサムウェアプロセスによって暗号化されている場合に備えて、暗号化されているファイルのバックアップコピーを作成します。このオプションは、Windowsを実行しているコンピュータにのみ適用されます。
6. [OK] をクリックします。

デフォルトでは、リアルタイムスキャンはすべてのディレクトリをスキャンするように設定されています。スキャン設定を変更してディレクトリリストをスキャンするように設定した場合、強化されたスキャンが期待通りに機能しない可能性があります。たとえば、[検索対象ディレクトリ] をFolder1に設定した場合にFolder1でランサムウェアが発生すると、Folder1の外部にあるファイルがランサムウェアによって暗号化された場合、ランサムウェアが検出されない可能性があります。

次に、不正プログラム検索設定をポリシーまたは個々のコンピュータに適用します。

1. コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[不正プログラム対策]→[一般] の順に選択します。
2. 不正プログラム対策のステータス が オン または 継承 (オン) に設定されていることを確認します。
3. 一般タブには、リアルタイム検索、手動検索、および予約検索のセクションが含まれています。適切なセクションで、不正プログラム検索設定を使用して作成した検索設定を選択します。
4. [保存] をクリックします。

強化スキャンで検出された問題に対処する

Deep Securityが有効にした拡張スキャン設定に一致するアクティビティやファイルを検出すると、イベントを記録します。イベントの一覧を表示するには、イベント & レポート > イベント > 不正プログラム対策イベントに移動して確認できます。イベントは主要ウイルスタイプ列で疑わしいアクティビティまたは不正な変更として識別され、詳細はターゲットおよびターゲットタイプ列に表示されます。

Deep Securityは、強化スキャン設定に関連する多くの種類のチェックを実行し、問題を発見したチェックの種類に応じてアクションを実行します。Deep Securityは、不審オブジェクトに対してアクセス拒否、終了、またはクリーンのいずれかのアクションを実行する場合があります。これらのアクションはDeep Securityによって決定され、クリーンアクションを除いて設定変更はできません

• アクセスを拒否: 不審なファイルをオープンまたは実行しようとする挙動を検知すると、ただちにその操作をブロックして不正プログラム対策イベントを記録します。
• [終了]: Deep Securityは、不審な操作を実行したプロセスを終了し、不正プログラム対策イベントを記録します。
• クリーン: Deep Securityは不正プログラム検索の設定を確認し、アクションタブで指定されたトロイの木馬に対するアクションを実行します。トロイの木馬ファイルに対して実行されたアクションに関連する1つ以上の追加イベントが生成されます。

イベントをダブルクリックすると詳細が表示されます。

ランサムウェアに関連するイベントの場合は、[対象ファイル] タブが追加で表示されます。

特定されたファイルを調べて無害であることが判明した場合は、イベントを右クリックして[許可] をクリックし、コンピュータまたはポリシーの検索除外リストにそのファイルを追加します。検索除外リストは、ポリシーエディタまたはコンピュータエディタで [不正プログラム対策]→[詳細]→[挙動監視保護の例外] の順に選択して確認できます。

Agentをインターネットに直接接続できない場合の対処

このトピックで説明した強化された検索機能は、Global Census ServerとGood File Reputation Serviceでファイルをチェックするため、インターネットへのアクセスを必要とします。Deep Security Agentがインターネットに直接アクセスできない場合は、インターネットにアクセスできないAgentを設定するで回避策について参照してください。