不正プログラム対策
不正プログラム対策モジュールには、不正プログラム、ウイルス、トロイの木馬、スパイウェアなどのファイルベースの脅威からリアルタイムに保護する機能と、必要に応じて保護する機能があります。脅威を特定するために、サーバにホストされている、またはアップデート可能なパターンとしてローカルに保管されている包括的な脅威データベースに対して、ファイルを照合します。また、圧縮や既知の攻撃コードなど、特定の特性がないかについても確認します。
不正プログラム対策では、 システムへの影響を最小限に抑えつつ、脅威を阻止して取り除く処理が実行されます。不正なファイルは、駆除、削除、または隔離できます。特定した脅威に関連付けられているプロセスを終了したり、他のシステムオブジェクトを削除することもできます。
不正プログラムの種類
不正プログラム対策は、次のものを含むすべての種類のファイルベースの脅威から保護します。
ウイルス (ファイル感染型)
ウイルスは、正常なファイルに不正コードを挿入することによって感染します。通常は、感染したファイルを開くと不正なコードが自動的に実行され、他のファイルを感染させるだけでなく、ペイロードが配信されます。次に、一般的なウイルスをいくつか示します。
- COMおよびEXE感染型ウイルス: 一般的に.COMや.EXEの拡張子が付いている、DOSおよびWindows実行可能ファイルに感染します。
- マクロウイルス: 不正マクロを挿入することで、Microsoft Officeファイルを感染させます。
- システム領域感染型ウイルス: OSを起動させるために必要な情報が格納されているハードディスクドライブの領域に感染します。
不正プログラム対策では、感染ファイルを特定して駆除するために、さまざまな技術を使用しています。最もよく行われる方法は、ファイルの感染に使用される実際の不正コードを検出し、感染ファイルからこのコードを取り除くことです。その他にも、感染する可能性のあるファイルへの変更を規制する方法や、不審な変更が適用される場合にファイルをバックアップする方法などがあります。
トロイの木馬などの非感染型ウイルス
非感染型ウイルスは、他のファイルを感染させる能力を持たない不正ファイルのことです。これには次のタイプの不正プログラムを含む、さまざまなものがあります。
- トロイの木馬: バックドアやワーム機能を持たない、非感染型の実行可能な不正プログラムファイル。
- バックドア: 権限のないリモートユーザに感染システムへのアクセスを許可する不正プログラムアプリケーション。バックドアは、開いているポートを使用してサーバと通信します。
- ワーム: システム間で伝幡することがある不正プログラムは、一般に「ワーム」と言います。ワームは人目を引くメールメッセージ、インスタントメッセージ、または共有ファイルを介したソーシャルエンジニアリングを利用して伝幡します。また、アクセス可能なネットワーク共有に自身をコピーし、脆弱性を突いて別のコンピュータに広がります。
- ネットワークウイルス: ファイルベースではない、メモリまたはパケット上のみに存在する不正プログラム。不正プログラム対策ではネットワークウイルスを検出または削除できません。
- ルートキット: OSのコンポーネントの呼び出しを操作するファイルベースの不正プログラム。監視やセキュリティソフトウェアなどのアプリケーションでは、ファイルのリスト作成や実行中のプロセスの特定など、非常に基本的な機能を呼び出す必要があります。これらの呼び出しを操作することによって、ルートキットは自身の存在や、その他の不正プログラムの存在を隠すことができます。
スパイウェア/グレーウェア
スパイウェア/グレーウェアは、別のシステムに送信するための情報や、別のアプリケーションで収集された情報を収集するアプリケーションおよびコンポーネントです。スパイウェア/グレーウェアの検出では、不正と思われる動作だけでなく、リモート監視のような合法的な目的に使用されるアプリケーションまで検出されることがあります。スパイウェア/グレーウェアアプリケーションの中で、既知の不正プログラムチャネルを通して配布されるものなど、もともと不正な性質を帯びているものは、一般にスパイウェア/グレーウェアではなく「トロイの木馬」として検出されます。
スパイウェア/グレーウェアアプリケーションは、通常、次のように分類されます。
- スパイウェア: 個人情報を収集および送信する目的でコンピュータにインストールされたソフトウェア。
- ダイヤラー: 不正プログラムであるダイヤラーは、接続の設定先を変更して、ユーザの予期しない料金を発生させるように設計されています。ダイヤラーの中には、個人情報を送信したらり、不正プログラムソフトウェアをダウンロードしたりするものもあります。
- ハッキングツール: コンピュータシステムへの不正アクセスを支援するために設計されたプログラムまたはプログラムのセット。
- アドウェア (広告サポートソフトウェア): 広告を自動的に再生、表示、またはダウンロードするソフトウェアパッケージ。
- Cookie: Webブラウザによって保存されるテキストファイル。Cookieには認証情報やサイトの設定など、Webサイトに関するデータが含まれています。Cookieは実行可能ファイルではないため感染することはありませんが、スパイウェアとして使用される可能性があります。合法的なWebサイトから送信されたCookieも、不正な目的に使用されることがあります。
- キーロガー: ユーザのキー入力を記録して、パスワードやその他の秘密情報を盗むソフトウェア。キーロガーの中には、リモートシステムにログを送信するものがあります。
グレーウェアの定義
スパイウェアのようなアプリケーションの中には、押しつけがましい動作を示すものの、不正ではないとみなされるものがあります。たとえば、市販のリモート制御および監視アプリケーションの中には、システムイベントを追跡および収集して、これらのイベントに関する情報を別のシステムに送信するものがあります。システム管理者などのユーザが自ら、これらの合法的なアプリケーションをインストールしている場合があります。これらのアプリケーションを「グレーウェア」と言います。
不正プログラム対策では、グレーウェアの不正使用を防止するためにグレーウェアを検出します。ただし、検出されたアプリケーションを「承認」して、実行を許可することができます。
パッカー
パッカーは圧縮または暗号化された実行可能プログラムです。不正プログラムの作者は、検出を免れるために、既存の不正プログラムを何重にも圧縮または暗号化することがあります。<不正プログラムからの保護> は、実行可能ファイル内に不正プログラムに関連付けられた圧縮パターンがないか検索します。
不正プログラムの可能性があるファイル
不正プログラムの可能性があるとして検出されるファイルは、通常、未知の不正プログラムコンポーネントです。初期設定では、これらの検出結果がログに記録され、ファイルは分析用に匿名でトレンドマイクロに送信されます。
その他の脅威
「その他の脅威」は、どのタイプにも分類されない不正プログラムなどです。このカテゴリには、偽の通知を表示したり、画面の動作を操作したりする、一般に実害のないジョークプログラムが含まれます。
不正プログラム検索の種類
Vulnerability ProtectionDeep Securityには、次の3種類の不正プログラム検索があります。
- フル検索
- クイック検索
- リアルタイム検索
フル検索では、コンピュータ上のすべてのプロセスとファイルを対象にシステム検索が実行されます。フル検索は、予約タスクを作成することで決まった日時に実行するか、必要に応じて手動で実行できます。
クイック検索では、コンピュータの重大なシステム領域で、現在アクティブな脅威の検索のみが実行されます。クイック検索では、現在アクティブな不正プログラムが検索されますが、活動のない、または保存されている感染ファイルを検索するためにファイルが詳細に検索されることはありません。大容量のドライブでは、フル検索よりも短時間で終了します。クイック検索は、手動でのみ実行できます。予約タスクの一部としてクイック検索を予約することはできません。
リアルタイム検索は、実行中のプロセスやI/Oイベントの継続的な監視です。
基本的な設定
コンピュータで不正プログラム対策機能を有効にするには、次の手順に従います。
- ポリシーまたはコンピュータエディタで、[不正プログラム対策]→[一般] に移動します。
- [不正プログラム対策] セクションで、[設定] を [オン] (または [継承 (オン)]) に設定し、[保存] をクリックします。
- [リアルタイム検索]、[手動検索]、または [予約検索] のセクションで、[不正プログラム検索設定] および [スケジュール] を設定するか、それらの設定を親ポリシーから継承するように設定します。
- [保存] をクリックします。
詳細設定
不正プログラム検索設定を変更する
不正プログラム検索の範囲は、[不正プログラム検索設定] で編集できます。[不正プログラム検索設定] では、検索の対象または対象外となるファイルやディレクトリ、またコンピュータで不正プログラムが検出された場合の処理 (駆除、隔離、削除など) を設定します。不正プログラム検索には、次の2種類の設定があります。
- 手動/予約検索の設定
- リアルタイム検索の設定
手動検索の設定と予約検索の設定は、フル検索が対象です。リアルタイム検索の設定は、リアルタイム検索が対象です。
Vulnerability ProtectionDeep Securityでは、不正プログラム検索の初期設定が検索の種類ごとに事前に設定されています。不正プログラム検索の初期設定は、Vulnerability ProtectionDeep Securityの事前に設定されたセキュリティポリシーで使用されます。
不正プログラム検索設定を変更するには、次の手順に従います。
- [ポリシー] 画面で、[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
- 既存の不正プログラム検索設定を編集するか、新規に作成します。詳細については、Deep Security Managerのヘルプで「不正プログラム検索設定」を参照してください。
次の表は、検索の種類ごとに、検索されるオブジェクトと検索の順序を示しています。
| 対象 | フル検索 | クイック検索 |
| ドライバ | 1 | 1 |
| トロイの木馬 | 2 | 2 |
| プロセスイメージ | 3 | 3 |
| メモリ | 4 | 4 |
| ブートセクタ | 5 | - |
| ファイル | 6 | 5 |
| スパイウェア | 7 | 6 |
スマートスキャン
スマートスキャンでは、トレンドマイクロのサーバに保存されている脅威シグネチャが参照されます。スマートスキャンを使用すると、まず、ローカルで保持しているパターンファイルにより検索が行われます。そこでファイルの危険性を評価できなかった場合は、ローカルのSmart Protection Serverに接続します。ローカルのSmart Protection Serverでも危険性を評価できなかった場合は、トレンドマイクロのGlobal Smart Protectionサービスに接続します。
スマートスキャンには、次の機能と利点があります。
- 脅威からの保護にかかる合計時間を削減
- パターンのアップデート時に使用されるネットワーク帯域幅を削減。パターン定義のアップデートの大半は、クラウドで保持され、多数のコンピュータへの配信は不要
- 企業全体へのパターン展開に関連するコストとオーバーヘッドを削減
- コンピュータにおけるカーネルのメモリ消費を削減。メモリ消費量の増加を最小限に抑制
- クラウドで、高速でリアルタイムのセキュリティステータス検索機能を実現
スマートスキャンのオンとオフを切り替えるには、ポリシーまたはコンピュータエディタで、[不正プログラム対策]→[Smart Protection] に進みます。
NSXセキュリティタグ
Deep Securityでは、不正プログラムによる脅威の検出時に、保護対象の仮想マシンにNSXセキュリティタグを適用できます。NSXセキュリティタグをNSX Service Composerで使用することで、感染した仮想マシンの隔離など、特定のタスクを自動化することができます。NSXセキュリティタグとNSXセキュリティグループの割り当ての詳細については、VMware NSXのドキュメントを参照してください。
NSXセキュリティタグを適用するように、不正プログラム対策および侵入防御システム保護モジュールを設定できます。
NSXセキュリティタグを適用するように不正プログラム対策モジュールを設定するには、コンピュータまたはポリシーエディタで、[不正プログラム対策]→[詳細]→[NSXセキュリティのタグ付け] に移動します。
不正プログラム対策エンジンが試行した修復処理が失敗した場合に、NSXセキュリティタグの適用のみを行うように選択できます (実行される修復処理は、有効になっている不正プログラム検索設定によって異なります。どの不正プログラム検索設定が有効になっているかを確認するには、コンピュータエディタまたはポリシーエディタで、[不正プログラム対策]→[一般] タブに移動し、[リアルタイム検索]、[手動検索]、および [予約検索] の各エリアを確認します)。
後続の不正プログラム検索で不正プログラムが検出されない場合にセキュリティタグを削除するように選択することもできます。この設定は、すべての不正プログラム検索の種類が同じ場合にのみ使用してください。