Deep Securityの不正プログラム対策モジュールは、エージェントコンピュータに対して、マルウェア、ウイルス、トロイの木馬、スパイウェアなどのファイルベースの脅威に対するリアルタイムおよびオンデマンドの保護を提供します。脅威を識別するために、不正プログラム対策モジュールはローカルハードドライブ上のファイルを包括的な脅威データベースと照合します。また、不正プログラム対策モジュールは、圧縮や既知の攻撃コードなどの特定の特性についてもファイルをチェックします。
脅威データベースの一部はトレンドマイクロのサーバーにホストされるか、パターンとしてローカルに保存されます。Deep Security Agentは、最新の脅威から保護するために、不正プログラム対策パターンとアップデートを定期的にダウンロードします。
 |
注意新しくインストールされたDeep Security Agentは、不正プログラム対策パターンとアップデートをダウンロードするためにアップデートサーバに接続するまで、不正プログラム対策保護を提供できません。インストール後にDeep
Security AgentがDeep Security Relayまたはトレンドマイクロのアップデートサーバと通信できることを確認してください。
|
不正プログラム対策モジュールは、システムパフォーマンスへの影響を最小限に抑えながら脅威を排除します。不正プログラム対策モジュールは、悪意のあるファイルをクリーン、削除、または隔離することができます。また、プロセスを終了し、特定された脅威に関連する他のシステムオブジェクトを削除することもできます。
不正プログラム対策モジュールを有効にして設定するには、不正プログラム対策の有効化と設定を参照してください。
不正プログラム検索の種類
不正プログラム対策モジュールは、いくつかの種類のスキャンを実行します。実行するスキャンの種類を選択も参照してください。
リアルタイム検索
ファイルが受信、開封、ダウンロード、コピー、または変更されるたびに直ちにスキャンします。Deep Securityはセキュリティリスクのためにファイルをスキャンします。Deep
Securityがセキュリティリスクを検出しない場合、ファイルはその場所に残り、ユーザはファイルにアクセスできます。Deep Securityがセキュリティリスクを検出した場合、感染したファイルの名前と特定のセキュリティリスクを示す通知メッセージが表示されます。
リアルタイム検索は、[スケジュール] オプションで別の期間を設定した場合を除き、継続的に有効になります。
 |
ヒントリアルタイム検索は、ファイルサーバでファイルのバックアップが予約されているときなど、パフォーマンスへの影響が大きいときを避けて実行するように設定できます。
|
この検索は、不正プログラム対策モジュールでサポートされるすべてのプラットフォームで実行できます。
手動検索
コンピュータ上のすべてのプロセスおよびファイルに対してシステム全体の検索を実行します。検索に要する時間は、検索するファイル数と、コンピュータのハードウェアリソースに応じて異なります。手動検索はクイック検索より時間がかかります。
[不正プログラムのフル検索]をクリックすると手動検索が実行されます。
この検索は、不正プログラム対策モジュールでサポートされるすべてのプラットフォームで実行できます。
予約検索
設定した日時に自動的に実行されます。予約検索を使用して日々の検索を自動化することで、検索をより効率的に管理できます。
予約検索は、スケジュールされたタスクを使用して[コンピュータの不正プログラムタスクを検索]を作成する際に指定した日時に実行されます (Deep Securityのタスクをスケジュールするを参照)。
この検索は、不正プログラム対策モジュールでサポートされるすべてのプラットフォームで実行できます。
クイック検索
コンピュータの重要なシステム領域で、現在アクティブな脅威の検索だけが実行されます。クイック検索では、現在アクティブな不正プログラムが検索されますが、活動のない、または保存されている感染ファイルを検索するためにファイルが詳細に検索されることはありません。大容量のドライブでは、フル検索よりも短時間で終了します。クイック検索は構成可能ではありません。
[不正プログラムのクイック検索]をクリックするとクイックスキャンが実行されます。
|
注意クイック検索を実行できるのは、Windowsコンピュータのみです。
|
検索されるオブジェクトと順序
次の表は、検索の種類ごとに、検索されるオブジェクトと検索の順序を示しています。
|
対象
|
フル検索 (手動または予約)
|
クイック検索
|
|
ドライバ
|
1
|
1
|
|
トロイの木馬
|
2
|
2
|
|
プロセスイメージ
|
3
|
3
|
|
メモリ
|
4
|
4
|
|
ブートセクタ
|
5
|
-
|
|
ファイル
|
6
|
5
|
|
スパイウェア
|
7
|
6
|
不正プログラム検索設定
不正プログラム検索の構成は、不正プログラム検索の動作を制御するオプションのセットです。ポリシーを使用して、または特定のコンピュータに対して不正プログラム対策を構成する際に、使用する不正プログラム検索の構成を選択します。複数の不正プログラム検索の構成を作成し、異なるコンピュータグループが異なる検索要件を持つ場合に、それらを異なるポリシーで使用することができます。
リアルタイム検索、手動検索、およびスケジュール検索はすべて不正プログラム検索の設定を使用します。Deep Securityは各検索タイプに対してデフォルトの不正プログラム検索設定を提供します。これらの検索設定はデフォルトのセキュリティポリシーで使用されます。デフォルトの検索設定をそのまま使用することも、変更することも、独自の設定を作成することもできます。
|
注意クイックスキャンは設定可能ではなく、不正プログラム検索の設定は使用しません。
|
検索時に含まれるか除外されるファイルやディレクトリ、およびコンピュータで不正プログラムが検出された場合に実行される処理(駆除、隔離、削除など)を指定できます。
詳細については、不正プログラムスキャンの構成を参照してください。
不正プログラムイベント
Deep Securityが不正プログラムを検出すると、イベントログに表示されるイベントがトリガーされます。そこからイベントに関する情報を確認したり、誤検知の場合にファイルの除外を作成したりできます。また、実際に無害なファイルを復元することもできます。
詳細については、次のセクションを参照してください。
スマートスキャン
スマートスキャンでは、トレンドマイクロのサーバに保存されている脅威のシグネチャが使用され、次のような利点があります。
-
セキュリティステータスの検索をクラウドベースで高速かつリアルタイムに実行
-
脅威からの保護にかかる合計時間を削減
-
パターンファイルのアップデート時に使用されるネットワーク帯域幅を削減 (パターン定義のアップデートの大半は、クラウドで保持され、多数のコンピュータへの配信は不要)
-
企業全体へのパターン展開のコストとオーバーヘッドを削減
-
コンピュータにおけるカーネルのメモリ消費を削減 (メモリ消費量の増加を最小限に抑制)
Smart Scanが有効になっている場合、Deep Securityはまずローカルでセキュリティリスクをスキャンします。スキャン中にDeep Securityがファイルのリスクを評価できない場合、ローカルのSmart
Scanサーバに接続しようとします。ローカルのSmart Scanサーバが検出されない場合、Deep SecurityはトレンドマイクロのグローバルSmart Scanサーバに接続しようとします。この機能の詳細については、Deep SecurityのSmart Protectionを参照してください。
Predictive Machine Learning
Deep Securityは、機械学習型検索を通じて未知の脅威やゼロデイ攻撃に対する高度な不正プログラム保護を提供します。トレンドマイクロの機械学習型検索は、脅威情報を関連付け、高度なファイル分析を行い、デジタルDNAフィンガープリント、APIマッピング、その他のファイル機能を通じて新たなセキュリティリスクを検出します。
機械学習型検索は、フィッシングやスピアフィッシングなどの手法を用いた標的型攻撃によるセキュリティ侵害に対する保護に効果的です。これらのケースでは、特定の環境を標的に設計された不正プログラムが従来の不正プログラム検索の手法をすり抜ける場合があります。
リアルタイム検索中にDeep Securityが未知または低普及率のファイルを検出すると、Deep Securityは高度な脅威検索エンジン (ATSE) を使用してファイルの特徴を抽出します。その後、レポートをトレンドマイクロのSmart
Protection Network上の機械学習型検索エンジンに送信します。不正プログラムのモデリングを使用して、機械学習型検索はサンプルを不正プログラムモデルと比較し、確率スコアを割り当て、ファイルに含まれる可能性のある不正プログラムの種類を判断します。
ファイルが脅威として識別された場合、Deep Securityはファイルをクリーン、隔離、または削除して、脅威がネットワーク全体に広がり続けるのを防ぎます。
Predictive Machine Learning の使用については、機械学習型検索を使用した新たな脅威の検出を参照してください。
不正プログラム対策モジュールは、多くのファイルベースの脅威から保護します。特定の種類の不正プログラムをスキャンするおよび不正プログラムの処理方法を設定するも参照してください
ウイルス
ウイルスは悪意のあるコードを挿入することでファイルに感染します。通常、感染したファイルを開くと、悪意のあるコードが自動的に実行され、他のファイルに感染するだけでなく、ペイロードを配信します。以下は、より一般的なウイルスの種類の一部です:
-
COMおよびEXE感染者: 一般的に.COMや.EXEの拡張子が付いている、DOSおよびWindows実行可能ファイルに感染します。
-
マクロウイルス: 不正マクロを挿入することで、Microsoft Officeファイルを感染させます。
-
システム領域感染型ウイルス: OSを起動させるために必要な情報が格納されているハードディスクドライブの領域に感染します
不正プログラム対策モジュールは、さまざまな技術を使用して感染ファイルを識別し、クリーンアップします。最も伝統的な方法は、ファイルを感染させる実際の悪意のあるコードを検出し、このコードを感染ファイルから取り除くことです。他の方法には、感染可能なファイルへの変更を規制することや、疑わしい変更が加えられた場合にそのようなファイルをバックアップすることが含まれます。
トロイの木馬
一部の不正プログラムは、その他のファイルにコードを挿入することによって拡散する方法を採りません。代わりに別の方法を採ったり、別の影響を及ぼします。
-
トロイの木馬:開くと実行されシステムに感染する不正プログラムファイル (神話のトロイの木馬のようなもの)。
-
バックドア:権限のないリモートユーザに感染システムへのアクセスを許可するためにポート番号を開く不正プログラムアプリケーション。
-
ワーム:ネットワークを使用してシステム間で拡散する不正プログラム。ワームは、魅力的にパッケージされたメールメッセージ、インスタントメッセージ、共有ファイルを利用したソーシャルエンジニアリングによって拡散することが知られています。また、アクセス可能なネットワーク共有に自分自身をコピーし、脆弱性を悪用して他のコンピュータに拡散することも知られています。
-
ネットワークウイルス: メモリのみまたはパケットのみのプログラム (ファイルベースではない) ワーム。不正プログラム対策はネットワークウイルスを検出または削除できません。
-
ルートキット:OSコンポーネントへの呼び出しを操作するファイルベースの不正プログラム。モニタリングソフトウェアやセキュリティソフトウェアを含むアプリケーションは、ファイルの一覧表示や実行中のプロセスの識別などの基本的な機能のためにこのような呼び出しを行う必要があります。これらの呼び出しを操作することで、ルートキットは自身や他の不正プログラムの存在を隠すことができます。
パッカー
パッカーは圧縮および暗号化された実行可能プログラムです。検出を回避するために、不正プログラムの作成者は既存の不正プログラムを複数の圧縮および暗号化の層の下にパックすることがよくあります。不正プログラム対策は、不正プログラムに関連する圧縮パターンについて実行可能ファイルをチェックします。
スパイウェア/グレーウェア
スパイウェアおよびグレーウェアは、情報を収集して別のシステムに送信するか、別のアプリケーションによって収集されるアプリケーションおよびコンポーネントで構成されます。スパイウェア/グレーウェア検出は、潜在的に悪意のある動作を示す場合がありますが、リモート監視などの正当な目的で使用されるアプリケーションを含むことがあります。既知の不正プログラムチャネルを通じて配布されるものを含む、本質的に悪意のあるスパイウェア/グレーウェアアプリケーションは、通常、他のトロイの木馬として検出されます。
スパイウェアおよびグレーウェアアプリケーションは、通常、次のように分類されます。
-
スパイウェア: 個人情報を収集および送信する目的でコンピュータにインストールされたソフトウェア。
-
ダイヤラー:悪意のあるダイヤラーは、プレミアムレート番号を通じて接続し、予期しない料金を発生させるように設計されています。一部のダイヤラーは個人情報を送信し、悪意のあるソフトウェアをダウンロードすることもあります。
-
ハッキングツール:プログラムまたはプログラムのセットは、コンピュータシステムへの不正アクセスを支援するために設計されています。
-
アドウェア: 広告を自動的に再生、表示、またはダウンロードするソフトウェアパッケージ。
-
Cookie:Webブラウザによって保存されるテキストファイル。Cookieには認証情報やサイトの設定など、ウェブサイトに関連するデータが含まれています。Cookieは実行可能ではなく、感染することはありませんが、スパイウェアとして使用される可能性があります。正当なウェブサイトから送信されたCookieであっても、悪意のある目的で使用されることがあります。
-
キーロガー: ユーザのキー入力を記録して、パスワードやその他の秘密情報を盗むソフトウェア。 一部のキーロガーはログをリモートシステムに送信します。
グレーウェアの定義
侵入的な動作を示すことがあるものの、スパイウェアのようなアプリケーションの中には正当と見なされるものもあります。例えば、市販されているリモートコントロールおよび監視アプリケーションの中には、システムイベントを追跡して収集し、これらのイベントに関する情報を別のシステムに送信するものがあります。システム管理者や他のユーザは、これらの正当なアプリケーションをインストールすることがあります。これらのアプリケーションは「グレーウェア」と呼ばれます。
不正プログラム対策モジュールでは、グレーウェアの不正使用を防止するためにグレーウェアを検出します。ただし、検出されたアプリケーションを「承認」して、実行を許可することができます。
Cookie
Cookieは、Webブラウザに保存されるテキストファイルで、HTTP要求のたびにWebサーバに返されます。Cookieには認証情報や設定が保存されていますが、感染サーバがからの持続型攻撃の場合、それらに紛れてSQLインジェクションやXSSなどの攻撃コードが含まれている可能性があります。
その他の脅威
その他の脅威は、どのタイプにも分類されない不正プログラムなどです。このカテゴリには、偽の通知を表示したり、画面の動作を操作したりする、一般に実害のないジョークプログラムが含まれます。
潜在的な不正プログラム
潜在的な不正プログラムとは、疑わしいが、特定の不正プログラムの変異形として分類できないファイルのことです。トレンドマイクロでは、ファイルの詳細な分析についてサポート担当者にお問い合わせいただくことをお勧めします。初期設定では、これらの検出がログに記録され、ファイルは保護された方法でトレンドマイクロに送信されて分析されます。