不正プログラム検索設定
Vulnerability ProtectionDeep Securityでは、さまざまな不正プログラム検索設定を作成して、不正プログラムの検出方法を自動的に処理できます。設定のオプションとして、検索対象ファイル、検索の実行の種類 (リアルタイムまたは手動/予約)、不正プログラムが検出された場合に行われる処理などを設定できます。この画面で不正プログラム検索のグローバル設定を定義できます。どのように、どの組み合わせで、いつこれらの設定をコンピュータ上で有効にするかは、ポリシーおよびコンピュータレベルで設定できます。またVulnerability ProtectionDeep Securityの大部分のエレメントと同様に、グローバル設定の多くはポリシーおよびコンピュータレベルでオーバーライドできます (詳細については、「ポリシー、継承、およびオーバーライド」を参照してください)。
不正プログラム検索設定には、リアルタイム検索と手動/予約検索の2種類があります。どちらの検索でもほとんどの処理が可能ですが、「アクセス拒否」などの一部の処理はリアルタイム検索でのみ使用できます。また、「CPU使用率」など、手動/予約検索でのみ使用可能な処理もあります。
グローバル設定の [不正プログラム検索設定] 画面から、次のことを実行できます。
- 新しい (
) リアルタイム検索または手動/予約検索の設定を作成する
- XMLファイルから既存の検索設定をインポートする (
) ([新規] メニューの下に位置) - 不正プログラム検索設定のプロパティ (
) を表示する
- 既存のファイル設定を複製 (
) (および変更) する - 設定のリストから強調表示した設定ファイルを削除 (
) する。 - 表示または選択した設定をXMLファイルまたはCSVファイルにエクスポート (
) する。 - 表示から列を追加または削除 (
) する。 - 特定の設定ファイルを検索 (
) する。
プロパティ
一般
一般情報
- 不正プログラム検索設定の名前と説明、および検索の種類 (リアルタイムまたは手動/予約)
検索設定
- 検索するディレクトリ: 不正プログラムの検索を行うディレクトリを指定します。検索は、すべてのディレクトリに対して行うか、定義済みのディレクトリリストから選択して行えます。
- 検索するファイル: 不正プログラムの検索を行うファイルを指定します。[すべてのファイル]、[トレンドマイクロの推奨設定で検索されるファイルタイプ] のどちらかを選択するか、定義済みの [ファイル拡張子リスト] (リスト内で定義されている拡張子に当てはまるすべてのファイルを検索) から選択します。
IntelliScanでは、感染しやすいファイルの種類 (.zipや.exeなど) のみを検索します。IntelliScanでは、ファイルの種類はファイル拡張子から判断するのではなく、ファイルのヘッダや内容を読み取ってそのファイルが検索対象かどうかを決定します。すべてのファイルを検索する場合に比べ、IntelliScanを使用すると検索するファイルの総数が削減されるため、パフォーマンスが向上します。
検索除外
特定のディレクトリ、ファイル、およびファイル拡張子を、検索から除外することができます。たとえば、Microsoft Exchangeサーバの不正プログラム検索設定を作成している場合、不正プログラムであることがすでに確認されているファイルが再検索されないように、InterScan for Microsoft Exchangeの隔離フォルダを除外します。
ディレクトリの検索除外設定では、WindowsとLinuxの両方の命名規則をサポートするため、スラッシュ (/) とバックスラッシュ (\) の区別はありません。
次の表に、検索対象から除外するディレクトリリストを定義するために使用できる構文を示します。
| 検索除外 | 形式 | 説明 | 例 |
| ディレクトリ | DIRECTORY | 指定したディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。 | C:\Program Files\ 「Program Files」ディレクトリとそのすべてのサブディレクトリにあるファイルをすべて除外します。 |
| ワイルドカード (*) を使用したディレクトリ | DIRECTORY\*\ | 任意のサブディレクトリ名を持つすべてのサブディレクトリを除外します。ただし、指定したディレクトリにあるファイルは除外しません。 | C:\abc\*\ 「abc」のすべてのサブディレクトリ内のファイルをすべて除外します。ただし、「abc」ディレクトリにあるファイルは除外しません。 C:\abc\wx*z\ 対象: C:\abc\wxz\ C:\abc\wx123z\ 対象外: C:\abc\wxz C:\abc\wx123z C:\abc\*wx\ 対象: C:\abc\wx\ C:\abc\123wx\ 対象外: C:\abc\wx C:\abc\123wx |
| ワイルドカード (*) を使用したディレクトリ | DIRECTORY\* | 一致する名前を持つ任意のサブディレクトリを除外します。ただし、そのディレクトリにあるファイルおよび任意のサブディレクトリは除外しません。 | C:\abc\* 対象: C:\abc\ C:\abc\1 C:\abc\123 対象外: C:\abc C:\abc\123\ C:\abc\123\456 C:\abx\ C:\xyz\ C:\abc\*wx 対象: C:\abc\wx C:\abc\123wx 対象外: C:\abc\wx\ C:\abc\123wx\ C:\abc\wx*z 対象: C:\abc\wxz C:\abc\wx123z 対象外: C:\abc\wxz\ C:\abc\wx123z\ C:\abc\wx* 対象: C:\abc\wx C:\abc\wx\ C:\abc\wx12 C:\abc\wx12\345\ C:\abc\wxz\ 対象外: C:\abc\wx123z\ |
| 環境変数 | ${ENV VAR} | ${ENV VAR} の形式を使用した環境変数で定義されるすべてのファイルおよびサブディレクトリを除外します。Virtual Applianceの場合、環境変数の値のペアは ポリシーエディタまたはコンピュータエディタの [設定]→[コンピュータ]→[環境変数のオーバーライド] で定義する必要があります。 | ${windir} 変数が「c:\windows」に変換された場合、「c:\windows」とそのすべてのサブディレクトリにあるファイルをすべて除外します。 |
| コメント | DIRECTORY #コメント | 除外の定義にコメントを追加できます。 | c:\abc #abcディレクトリを除外します |
次の表に、検索対象から除外するファイルリストを定義するために使用できる構文を示します。
| 検索除外 | 形式 | 説明 | 例 |
| ファイル | FILE | 場所やディレクトリに関係なく、指定したファイル名を持つすべてのファイルを除外します。 | abc.doc すべてのディレクトリで「abc.doc」という名前のファイルをすべて除外します。「abc.exe」は除外しません。 |
| ファイルパス | FILEPATH | ファイルパスで指定した特定のファイルを除外します。 | C:\Documents\abc.doc 「Documents」ディレクトリの「abc.doc」という名前のファイルのみ除外します。 |
| ワイルドカード (*) を使用したファイル | FILE* | ファイル名のパターンに一致するすべてのファイルを除外します。 | abc*.exe 接頭語が「abc」で拡張子が「.exe」のファイルを除外します。 *.db 対象: 123.db abc.db 対象外: 123db 123.abd cbc.dba *db 対象: 123.db 123db ac.db acdb db 対象外: db123 wxy*.db 対象: wxy.db wxy123.db 対象外: wxydb |
| ワイルドカード (*) を使用したファイル | FILE.EXT* | ファイルの拡張子のパターンに一致するすべてのファイルを除外します。 | abc.v* ファイル名が「abc」で拡張子が「.v」で始まるファイルを除外します。 abc.*pp 対象: abc.pp abc.app 対象外: wxy.app abc.a*p 対象: abc.ap abc.a123p 対象外: abc.pp abc.* 対象: abc.123 abc.xyz 対象外: wxy.123 |
| ワイルドカード (*) を使用したファイル | FILE*.EXT* | ファイル名と拡張子のパターンに一致するすべてのファイルを除外します。 | a*c.a*p 対象: ac.ap a123c.ap ac.a456p a123c.a456p 対象外: ad.aa |
| 環境変数 | ${ENV VAR} | ${ENV VAR} の形式を使用した環境変数で指定されるファイルを除外します。[システム設定]→[コンピュータ] タブの [環境変数のオーバーライド] で定義またはオーバーライドできます。 | ${myDBFile} 「myDBFile」ファイルを除外します。 |
| コメント | FILEPATH #コメント | 除外の定義にコメントを追加できます。 | C:\Documents\abc.doc #これはコメントです |
次の表に、検索対象から除外するファイル拡張子リストを定義するために使用できる構文を示します。
| 検索除外 | 形式 | 説明 | 例 |
| ファイル拡張子 | EXT | 一致する拡張子を持つすべてのファイルを除外します。 | doc すべてのディレクトリの「.doc」という拡張子を持つファイルをすべて除外します。 |
| コメント | EXT #コメント | 除外の定義にコメントを追加できます。 | doc #これはコメントです |
プロセスイメージファイルリストを定義するために使用できる構文を示します (リアルタイム検索のみ)。
| 検索除外 | 形式 | 説明 | 例 |
| ファイルパス | FILEPATH | ファイルパスで指定した特定のプロセスイメージファイルを除外します。 | C:\abc\file.exe 「abc」ディレクトリの「file.exe」という名前のファイルのみ除外します。 |
処理
認識された不正プログラム
検出時
[トレンドマイクロ推奨の修復処理を使用] オプションを選択すると、不正プログラムの検出時に実行する処理を自動的に決定するようにVulnerability ProtectionDeep Securityを設定できます。
トレンドマイクロの推奨処理は、不正プログラムの各カテゴリ用に最適化されたクリーンナップ処理の定義済みのセットです。個々の検出を適切に処理するため、トレンドマイクロの推奨処理内のアクションは継続的に調整されます。トレンドマイクロの推奨処理検索はウイルスパターンのアップデートと同時にアップデートされます。
次の表は、トレンドマイクロの推奨処理を選択した場合に実行される処理の一覧です。
| 不正プログラムの種類 | リアルタイム検索 | 手動/予約検索 | 備考 |
| ウイルス | 駆除 | 駆除 | ウイルスは、正常なファイルに不正コードを挿入することによって感染します。通常は、感染したファイルを開くと不正なコードが自動的に実行され、他のファイルを感染させるだけでなく、ペイロードが配信されます。一般的なウイルスの種類には、COMおよびEXE感染型ウイルス、マクロウイルス、システム領域感染型ウイルスなどがあります。 |
| トロイの木馬 | 隔離 | 隔離 | トロイの木馬は非感染型の不正プログラム実行可能ファイルで、ファイルを感染させる機能はありません。 |
| パッカー | 隔離 | 隔離 | パッカーは圧縮または暗号化された実行可能プログラムです。不正プログラムの作者は、検出を免れるために、既存の不正プログラムを何重にも圧縮または暗号化することがあります。不正プログラム対策は、実行可能ファイル内に不正プログラムに関連付けられた圧縮パターンがないか検索します。 |
| スパイウェア (グレーウェア) | 隔離 | 隔離 | グレーウェアは、正当なものである場合もありますが、スパイウェアに似た不要な動作をするソフトウェアです。 |
| 潜在的な不正プログラム | 放置 | 放置 | 不正プログラムの可能性があるとして検出されるファイルは、通常、未知の不正プログラムコンポーネントです。初期設定では、これらの検出結果がログに記録され、ファイルは分析用に匿名でトレンドマイクロに送信されます。 |
| Cookie | なし | 削除 | Cookieは、Webブラウザによって保存されるテキストファイルです。Cookieには認証情報やサイト設定など、サイトに関連するデータが含まれています。Cookieは実行可能ファイルではないため感染することはありませんが、スパイウェアとして使用される可能性があります。合法的なWebサイトから送信されたCookieも、不正な目的に使用されることがあります。 |
| その他の脅威 | 駆除 | 駆除 | その他の脅威のカテゴリには、偽の通知を表示したり、画面の動作を操作したりする、一般に実害のないジョークプログラムが含まれます。 |
また、Vulnerability ProtectionDeep Securityが不正プログラムの検出時に実行する一連の処理を、手動で指定することもできます。感染ファイルが見つかった場合、Vulnerability ProtectionDeep Securityが実行できる処理には次の5つがあります。
- 放置: 感染ファイルに何も行わず、そのファイルへのフルアクセスを許可する(不正プログラム対策イベントはログに記録されます)。
- 駆除: ファイルへのフルアクセスを許可する前に、駆除可能なファイルを駆除する(潜在的な不正プログラムには使用できません)。
- 削除: 感染ファイルを削除する。
- アクセス拒否: この検索処理はリアルタイム検索中にのみ実行されます。Vulnerability ProtectionDeep Securityは、感染ファイルを開いたり実行しようとしたりする動きを検出すると、すぐにその処理をブロックします。手動検索または予約検索で「アクセス拒否」オプションが選択された不正プロクラム検索設定が使用されている場合、「放置」処理が適用され、不正プログラム対策イベントがログに記録されます。
- 隔離: コンピュータまたはVirtual Appliance上の隔離ディレクトリにファイルを移動する (隔離後は、任意の場所にファイルをダウンロードできます。詳細については、[不正プログラム対策]→隔離ファイル を参照してください)。
潜在的な不正プログラム
ファイルが潜在的な不正プログラムである場合に、ファイルに対して行う処理を選択します。潜在的な不正プログラムとは、疑わしいが、特定の不正プログラムの変異形として分類できないファイルのことです。このオプションの設定を [初期設定] のままにすると、処理は [認識された不正プログラム] 欄の [検出時] で選択した処理になります。
オプション
一般的なオプション
- スパイウェア/グレーウェア検索の有効化: スパイウェア検索エンジンはスパイウェア/グレーウェアを検索し、[処理] タブで指定した処理を実行します。
- 圧縮ファイルの検索: ファイルの検索条件と、圧縮ファイルを検索するかどうかを指定します。
- ファイルを解凍する最大圧縮レイヤ: ファイルまたはファイルのグループは、複数回圧縮することができます。このオプションを使用すると、Vulnerability ProtectionDeep Securityでどの圧縮レベルまで検索するかを指定できます。
- 解凍した個別ファイルの最大サイズ: 検索する圧縮アーカイブ内にある個別ファイルの最大サイズです。
複数の圧縮階層を持つ、サイズの大きなファイルを検索すると、パフォーマンスに影響を及ぼす可能性があります。
- 解凍するファイルの最大数: 圧縮アーカイブから解凍して検索するファイルの最大数です。
- 埋め込みのMicrosoft Officeオブジェクトを検索する: Microsoft Officeの特定のバージョンでは、Object Linking and Embedding (OLE) を使用してOfficeファイルにファイルやその他のオブジェクトを挿入します。これらの埋め込みオブジェクトには、不正なコードが含まれている場合があります。埋め込みオブジェクトは他のオブジェクトを含めることができるため、1つのOfficeファイルの中に複数の層が含まれることがあります。パフォーマンスへの影響を軽減するため、各ファイル内の埋め込みオブジェクトの層をいくつかだけ検索するように選択できます。
- Microsoft Officeオブジェクトの悪用コードを検索する: 悪用コード検出では、Microsoft Officeファイルの悪用コードを確認することで不正プログラムをヒューリスティックに特定します。
指定した数の層が、OLEオブジェクトと悪用コード検索の両方のオプションに適用されます。 - IntelliTrapの有効化 (リアルタイム検索のみ): ウイルス作成者は、リアルタイム圧縮アルゴリズムを使用して、ウイルスフィルタを回避しようとすることがあります。IntelliTrapは、リアルタイムの圧縮済み実行ファイルをブロックし、他の不正プログラムの特性とファイルを組み合わせて、ユーザのネットワークに入り込むというようなウイルスのリスクを減らすのに役立っています(IntelliTrapはリアルタイム検索でのみ動作します)。
IntelliTrapはそのようなファイルをセキュリティ上の危険として特定するため、IntelliTrapを有効にすると、安全なファイルを (削除や駆除ではなく) 隔離したり、間違ってブロックする場合があります。ユーザがリアルタイムで圧縮した実行可能ファイルを定期的に交換する場合は、IntelliTrapを無効にしてください。IntelliTrapが使用する不正プログラム対策コンポーネントは、ウイルス検索エンジン、IntelliTrapパターンファイル、およびIntelliTrap除外パターンファイルです。
- ネットワークディレクトリ検索を有効にする (リアルタイム検索のみ): ネットワーク共有内およびマッピングされているネットワークドライブ内のファイルやフォルダを検索するには、このオプションを有効にします。
GVFS (GNOMEデスクトップで利用できる仮想ファイルシステム) を通じて 「~/.gvfs」 でアクセスされるリソースは、ネットワークドライブではなくローカルリソースとして扱われます。
- ファイルを検索する条件 (リアルタイム検索のみ): ファイルの読み取り時のみにファイルを検索するか、読み取り時および書き込み時のどちらでもファイルを検索するかを選択します。
- CPU使用率 (手動/予約検索のみ): 検索に割り当てるCPUリソースを指定します。
- 高: 一時停止せずに、ファイルを順次検索
- 中: (推奨) 全体のCPU使用率が50%を超えると一時停止
- 低: 全体のCPU使用率が20%を超えると一時停止
アラート
不正プログラム検索設定がイベントをトリガした場合に、アラートを発令するかどうかを選択します。
割り当て対象
特定の不正プログラム検索設定を使用しているポリシーとコンピュータを示します。