このページのトピック
不正プログラム対策について
不正プログラム対策モジュールは、不正プログラム、ウイルス、トロイの木馬、スパイウェアなどのファイルベースの脅威に対して、エージェントコンピュータにリアルタイムおよびオンデマンドの両方の保護を提供します。脅威を特定するため、不正プログラム対策モジュールは、包括的な脅威データベースに対して、ローカルハードディスク上のファイルをチェックします。また、不正プログラム対策モジュールは、特定の特性(圧縮や既知の攻撃コードなど)をファイルでチェックします。
脅威データベースの一部は、トレンドマイクロのサーバにホストされているか、パターンファイルとしてローカルに保存されています。エージェントは定期的に不正プログラム対策パターンファイルとアップデートをダウンロードし、最新の脅威から保護します。
新たにインストールされたエージェントは、アップデートサーバに接続して不正プログラム対策パターンファイルとアップデートをダウンロードするまで、不正プログラム対策保護を提供できません。インストール後、エージェントがRelayまたはトレンドマイクロのアップデートサーバと通信できることを確認してください。
不正プログラム対策モジュールは、脅威を排除し、システムパフォーマンスへの影響を最小限に抑えます。不正プログラム対策モジュールでは、不正なファイルを駆除、削除、または隔離できます。特定した脅威に関連付けられているプロセスを終了したり、他のシステムオブジェクトを削除することもできます。
不正プログラム対策モジュールを有効にして設定する方法については、不正プログラム対策を有効にして設定する を参照してください。
不正プログラム検索の種類
不正プログラム対策 モジュールは、いくつかの種類の検索を実行します。「実行する検索の種類を選択する」も参照してください。
リアルタイム検索
開かれ、すぐにファイルを受信するたびにスキャンし、コピー、または変更、ダウンロード、エージェントがセキュリティリスクのファイルをスキャンします。エージェントがセキュリティリスクを検出しなかった場合、ファイルはその場所に残り、ユーザはそのファイルへのアクセスに進むことができます。エージェントがセキュリティリスクを検出した場合、感染メッセージの名前と特定のセキュリティリスクを示す通知メッセージが表示されます。
リアルタイム検索は、[スケジュール] オプションで別の期間を設定した場合を除き、継続的に有効になります。
macOSエージェントの場合、リアルタイム検索は継続的にサポートされますが、 スケジュール オプション( [不正プログラム対策]→[一般]→[リアルタイム検索])は現在サポートされていません。
リアルタイム検索は、ファイルサーバでファイルのバックアップが予約されているときなど、パフォーマンスへの影響が大きいときを避けて実行するように設定できます。
この検索は、 不正プログラム対策 モジュールでサポートされるすべてのプラットフォームで実行できます。
手動検索
コンピュータ上のすべてのプロセスおよびファイルに対してシステム全体の検索を実行します。検索に要する時間は、検索するファイル数と、コンピュータのハードウェアリソースに応じて異なります。手動検索はクイック検索より時間がかかります。
手動検索は、[不正プログラムのフル検索] をクリックしたときに実行されます。
この検索は、 不正プログラム対策 モジュールでサポートされるすべてのプラットフォームで実行できます。
予約検索
設定した日時に自動的に実行されます。予約検索を使用して日々の検索を自動化することで、検索をより効率的に管理できます。
予約検索は、予約タスクを使用して 不正プログラム のコンピュータを検索するときに指定した日時に従って実行されます( のスケジュール Workload Security のタスクの実行を参照してください)。
この検索は、 不正プログラム対策 モジュールでサポートされるすべてのプラットフォームで実行できます。
クイック検索
コンピュータの重要なシステム領域で、現在アクティブな脅威のみを検索します。クイック検索では、現在アクティブな不正プログラムを検索しますが、潜伏状態のファイルや保存されている感染ファイルを検索するためのファイルの詳細検索は実行しません。大容量のドライブでのフル検索よりも大幅に高速です。クイック検索は設定できません。
クイック検索は、[不正プログラムのクイック検索] をクリックしたときに実行されます。
クイック検索を実行できるのは、Windowsコンピュータのみです。
検索されるオブジェクトと順序
次の表は、検索の種類ごとに、検索されるオブジェクトと検索の順序を示しています。
| 対象 | フル検索 (手動または予約) | クイック検索 |
|---|---|---|
| ドライバ | 1 | 1 |
| トロイの木馬 | 2 | 2 |
| プロセスイメージ | 3 | 3 |
| メモリ | 4 | 4 |
| ブートセクタ | 5 | - |
| ファイル | 6 | 5 |
| スパイウェア | 7 | 6 |
不正プログラム検索設定
不正プログラム検索設定は、不正プログラム検索の動作を制御する一連のオプションです。ポリシーを使用して、または特定のコンピュータに対して不正プログラム対策を設定する場合は、不正プログラム検索の設定を選択して使用します。不正プログラム検索設定は複数作成でき、コンピュータグループによって検索要件が異なる場合はポリシーの異なる設定を使用できます。
リアルタイム検索、手動検索、および予約検索では、すべて不正プログラム検索設定を使用します。Workload Securityでは、検索の種類ごとに初期設定の不正プログラム検索の設定が用意されています。これらの検索設定は、セキュリティポリシーの初期設定に使用されます。検索の初期設定をそのまま使用することも、変更することも、独自の設定を作成することもできます。
クイック検索は設定できず、不正プログラム検索設定も使用しません。
検索時に含まれるか除外されるファイルやディレクトリ、およびコンピュータで不正プログラムが検出された場合に実行される処理(駆除、隔離、削除など)を指定できます。
詳細については、「不正プログラム検索の設定」を参照してください。
不正プログラムイベント
エージェントが不正プログラムを検出すると、イベントログにイベントが記録されます。イベントログでは、イベントに関する情報を確認したり、誤判定の場合のファイルの例外を作成したりできます。また、実際には安全なファイルを復元することもできます。
関連項目:
スマートスキャン
スマートスキャンでは、トレンドマイクロのサーバに保存されている脅威のシグネチャが使用され、次のような利点があります。
- クラウドベースのリアルタイムのセキュリティステータス検索を高速で実行します。
- 新たな脅威に対する保護を提供するために必要な時間を短縮します。
- パターンアップデート中に消費されるネットワーク帯域幅を削減します (大量のパターン定義アップデートはクラウドに配信するだけでよく、多くのコンピュータに配信する必要はありません)。
- 全社規模のパターン配信のコストとオーバーヘッドを削減します。
- コンピュータのカーネルメモリ消費量を削減します (消費量は時間の経過とともに最小限に増加します)。
スマートスキャンを有効にすると、 エージェントは最初にローカルでセキュリティリスクを検索します。検索中にファイルのリスクを評価できない場合、エージェントはローカルのスマートスキャンサーバに接続しようとします。ローカルのスマートスキャンサーバが検出されない場合、エージェントはトレンドマイクロのグローバルスマートスキャンサーバへの接続を試行します。詳細については、Workload SecurityのSmart Protection を参照してください。
機械学習型検索
Workload Securityでは、機械学習型検索により未知の脅威やゼロデイ攻撃に対する強化されたマルウェア対策が提供されます。トレンドマイクロの機械学習型検索では、デジタルDNAフィンガープリント、APIマッピング、その他のファイル機能を使用して、高度な機械学習技術により脅威情報を関連付け、詳細なファイル分析を実行することで新たなセキュリティリスクを検出します。
機械学習型検索は、フィッシングやスピアフィッシングなどの手法を用いた標的型攻撃によるセキュリティ侵害に対する保護に効果的です。これらのケースでは、特定の環境を標的に設計された不正プログラムが従来の不正プログラム検索の手法をすり抜ける場合があります。
リアルタイム検索では、エージェントが未知のファイルまたは検出率の低いファイルを検出すると、エージェントは高度な脅威検索エンジン(ATSE)を使用してファイルを検索し、ファイルの機能を抽出します。このレポートは、Trend Micro Smart Protection Networkの機械学習型検索エンジンに送信されます。機械学習型検索は、不正プログラムモデリングを使用してサンプルを不正プログラムモデルと比較し、脅威の可能性スコアを割り当て、ファイルに含まれる可能性がある不正プログラムの種類を特定します。
ファイルが脅威として検出された場合、エージェントはファイルを駆除、隔離、または削除して、ネットワーク上に脅威が広がるのを防ぎます。
機械学習型検索の使用方法の詳細については、機械学習型検索を使用した新興の脅威の検出を参照してください。
不正プログラムの種類
不正プログラム対策 モジュールは、多くのファイルベースの脅威から保護します。関連する特定の種類の不正プログラムの検索 および 不正プログラム の処理方法を設定します。
ウイルス
ウイルスは、不正なコードを挿入してファイルに感染します。通常、感染ファイルを開くと、不正コードが自動的に実行され、他のファイルに感染するだけでなく、ペイロードが配信されます。ウイルスの一般的な種類は次のとおりです。
- COMおよびEXE感染型ウイルス: 一般的に.COMや.EXEの拡張子が付いている、DOSおよびWindows実行可能ファイルに感染します。
- マクロウイルス: 不正マクロを挿入することで、Microsoft Officeファイルを感染させます。
- システム領域感染型ウイルス: OSを起動させるために必要な情報が格納されているハードディスクドライブの領域に感染します。
不正プログラム対策 モジュールでは、さまざまなテクノロジを使用して、感染ファイルを特定および駆除します。最もよく行われる方法は、ファイルの感染に使用される実際の不正コードを検出し、感染ファイルからこのコードを取り除くことです。その他にも、感染する可能性のあるファイルへの変更を規制する方法や、不審な変更が適用される場合にファイルをバックアップする方法などがあります。
トロイの木馬
一部の不正プログラムは、その他のファイルにコードを挿入することによって拡散する方法を採りません。代わりに別の方法を採ったり、別の影響を及ぼします。
- トロイの木馬: 開かれたときにシステムを実行および感染させる不正プログラムファイル(「トロイの木馬」など)。
- バックドア: 許可されていないリモートユーザが感染したシステムにアクセスするためにポート番号を開く不正なアプリケーションです。
- ワーム: ネットワークを使用してシステムからシステムに伝播する不正プログラム。ワームは人目を引くメールメッセージ、インスタントメッセージ、または共有ファイルを介したソーシャルエンジニアリングを利用して伝幡します。また、アクセス可能なネットワーク共有に自身をコピーし、脆弱性を突いて別のコンピュータに広がります。
- ネットワークウイルス: ファイルベースではない、メモリまたはパケット上のみに存在する不正プログラム。不正プログラム対策 はネットワークウイルスを検出または削除できません。
- ルートキット: オペレーティングシステムコンポーネントへの呼び出しを操作するファイルベースの不正プログラムです。監視やセキュリティソフトウェアなどのアプリケーションでは、ファイルのリスト作成や実行中のプロセスの特定など、非常に基本的な機能を呼び出す必要があります。これらの呼び出しを操作することによって、ルートキットは自身の存在や、その他の不正プログラムの存在を隠すことができます。
パッカー
パッカーは圧縮され暗号化された実行可能プログラムです。不正プログラムの作者は、検出を免れるために、既存の不正プログラムを何重にも圧縮または暗号化することがあります。不正プログラム対策 は、不正プログラムに関連する圧縮パターンの実行可能ファイルをチェックします。
スパイウェアおよびグレーウェア
スパイウェアとグレーウェアは、別のシステムに送信される情報や別のアプリケーションによって収集される情報を収集するアプリケーションとコンポーネントで構成されます。スパイウェアおよびグレーウェアの検出には、潜在的に不正な動作が見られますが、リモート監視などの正当な目的で使用されるアプリケーションが含まれる場合があります。既知の不正プログラムチャネルを介して配布されるものを含む、本質的に不正なスパイウェアおよびグレーウェアアプリケーションは、通常、他のトロイの木馬として検出されます。
スパイウェアおよびグレーウェアアプリケーションは、通常、次のように分類されます。
- スパイウェア:コンピュータにインストールされ、個人情報を収集および送信するための ソフトウェアです。
- ダイヤラー: 悪意のあるダイヤラーが予想外の費用を引き起こしプレミアムレートの番号を介して接続するように設計されています。ダイヤラーの中には、個人情報を送信したらり、不正プログラムソフトウェアをダウンロードしたりするものもあります。
- ハッキングツール:コンピュータシステムへの不正アクセスを支援するために設計された プログラムまたはプログラムセットです。
- アドウェア: 広告を自動的に再生、表示、またはダウンロードするソフトウェアパッケージ。
- Cookie:Webブラウザによって保存される テキストファイルです。Cookieには認証情報やサイトの設定など、Webサイトに関するデータが含まれています。Cookieは実行可能ファイルではないため感染することはありませんが、スパイウェアとして使用される可能性があります。合法的なWebサイトから送信されたCookieも、不正な目的に使用されることがあります。
- Keyloggers:パスワードやその他の個人情報を盗むためにユーザのキー入力をログに記録する ソフトウェアです。キーロガーの中には、リモートシステムにログを送信するものがあります。
グレーウェアの定義
スパイウェアに類似したアプリケーションは、侵入型の動作を示しますが、正規のアプリケーションと見なされるものもあります。たとえば、一部の市販のリモート制御および監視アプリケーションでは、システムイベントを追跡および収集し、これらのイベントに関する情報を別のシステムに送信できます。システム管理者や他のユーザが、これらの正規のアプリケーションをインストールする可能性があります。これらのアプリケーションはグレーウェアと呼ばれます。
不正不正プログラム対策モジュールは、グレーウェアの不正使用から保護するために、グレーウェアを検出しますが、検出されたアプリケーションを承認して実行を許可するオプションを提供します。
Cookie
Cookieは、Webブラウザに保存されるテキストファイルで、HTTP要求のたびにWebサーバに返されます。Cookieには認証情報や設定が保存されていますが、感染サーバがからの持続型攻撃の場合、それらに紛れてSQLインジェクションやXSSなどの攻撃コードが含まれている可能性があります。
その他の脅威
その他の脅威は、どのタイプにも分類されない不正プログラムなどです。このカテゴリには、偽の通知を表示したり、画面の動作を操作したりする、一般に実害のないジョークプログラムが含まれます。
潜在的な不正プログラム
潜在的な不正プログラムとは、疑わしいが、特定の不正プログラムの変異形として分類できないファイルのことです。トレンドマイクロでは、ファイルの詳細な分析についてサポート担当者にお問い合わせいただくことをお勧めします。初期設定では、これらの検出がログに記録され、ファイルは保護された方法でトレンドマイクロに送信されて分析されます。