不正プログラム対策モジュールは、不正プログラム、ウイルス、トロイの木馬、スパイウェアなどのファイルベースの脅威に対するリアルタイムおよびオンデマンドの保護をエージェントコンピュータに提供します。脅威を特定するために、不正プログラム対策モジュールは、ローカルハードドライブ上のファイルを包括的な脅威データベースと照合してチェックします。また、不正プログラム対策モジュールは、圧縮や既知のエクスプロイトコードなど、特定の特性についてファイルをチェックします。
脅威データベースの一部はトレンドマイクロのサーバでホストされるか、パターンファイルとしてローカルに保存されます。エージェントは、最新の脅威に対する保護を確保するために、不正プログラム対策パターンとアップデートを定期的にダウンロードします。
 |
注意新しくインストールされたエージェントは、アップデートサーバに接続して不正プログラム対策パターンとアップデートをダウンロードするまで、不正プログラム対策を提供できません。インストール後、AgentがRelayまたはトレンドマイクロアップデートサーバと通信できることを確認します。
|
不正プログラム対策モジュールは、システムパフォーマンスへの影響を最小限に抑えながら脅威を排除します。不正プログラム対策モジュールでは、不正ファイルを駆除、削除、または隔離できます。また、プロセスを終了し、特定された脅威に関連付けられている他のシステムオブジェクトを削除することもできます。
不正プログラム対策モジュールを有効にして設定するには、を参照してください。不正プログラム対策を有効にして設定する。
不正プログラム検索の種類
不正プログラム対策モジュールは、いくつかの種類の検索を実行します。こちらもご覧ください実行する検索の種類を選択します。
リアルタイム検索
ファイルを受信、開く、ダウンロード、コピー、または変更するたびに、[即時検索] を選択すると、 エージェントはファイルのセキュリティリスクを検索します。エージェントがセキュリティリスクを検出しない場合、ファイルはその場所に残り、ユーザはファイルへのアクセスを続行できます。
エージェントでセキュリティリスクが検出されると、感染ファイルの名前と具体的なセキュリティリスクを示す通知メッセージが表示されます。
リアルタイム検索は、[スケジュール] オプションで別の期間を設定した場合を除き、継続的に有効になります。
|
注意macOSエージェントの場合、リアルタイム検索は継続的にサポートされますが、 [予約] オプション ( ) は現在サポートされていません。
|
 |
ヒントリアルタイム検索は、ファイルサーバでファイルのバックアップが予約されているときなど、パフォーマンスへの影響が大きいときを避けて実行するように設定できます。
|
この検索は、不正プログラム対策モジュールがサポートするすべてのプラットフォームで実行できます。
手動検索
コンピュータ上のすべてのプロセスとファイルに対してシステムの完全検索を実行します。検索の完了に必要な時間は、検索するファイルの数とコンピュータのハードウェアリソースによって異なります。手動検索は、クイック検索よりも時間がかかります。
[不正プログラムのフル検索] をクリックすると、手動検索が実行されます。
この検索は、不正プログラム対策モジュールがサポートするすべてのプラットフォームで実行できます。
予約検索
設定した日時に自動的に実行されます。予約検索を使用すると、定期検索が自動化され、検索管理の効率が向上します。
予約検索は、予約タスクを使用して [コンピュータの不正プログラムを検索] タスクを作成するときに指定した日時に実行されます Server & Workload Protection がタスクを実行するようにスケジュールするを参照してください。
この検索は、不正プログラム対策モジュールがサポートするすべてのプラットフォームで実行できます。
クイック検索
現在アクティブな脅威について、コンピュータの重要なシステム領域のみを検索します。クイック検索では、現在アクティブな不正プログラムを検索しますが、潜伏状態のファイルや保存されている感染ファイルを検索するためのファイルの詳細検索は実行しません。大容量のドライブでのフル検索よりも大幅に高速です。クイック検索は設定できません。
[不正プログラムのクイック検索]をクリックすると、クイック検索が実行されます。
|
注意クイック検索を実行できるのは、Windowsコンピュータのみです。
|
検索されるオブジェクトと順序
次の表は、検索の種類ごとに、検索されるオブジェクトと検索の順序を示しています。
|
対象
|
フル検索 (手動または予約)
|
クイック検索
|
|
ドライバ
|
1
|
1
|
|
トロイの木馬
|
2
|
2
|
|
プロセスイメージ
|
3
|
3
|
|
メモリ
|
4
|
4
|
|
ブートセクタ
|
5
|
-
|
|
ファイル
|
6
|
5
|
|
スパイウェア
|
7
|
6
|
不正プログラム検索設定
不正プログラム検索の設定は、不正プログラム検索の動作を制御するオプションのセットです。ポリシーを使用して、または特定のコンピュータに対して不正プログラム対策を設定する場合は、使用する不正プログラム検索設定を選択します。複数の不正プログラム検索設定を作成し、コンピュータのグループごとに検索要件が異なる場合に、それらを異なるポリシーで使用できます。
リアルタイム検索、手動検索、および予約検索はすべて不正プログラム検索設定を使用します。 Server & Workload Protection には、検索の種類ごとに初期設定の不正プログラム検索設定が用意されています。これらの検索設定は、初期設定のセキュリティポリシーで使用されます。初期設定の検索設定をそのまま使用することも、変更することも、独自に作成することもできます。
|
注意クイック検索は設定できないため、不正プログラム検索設定を使用しません。
|
検索時に含めるファイルとディレクトリ、および不正プログラムがコンピュータで検出された場合に実行する処理 (駆除、隔離、削除など) を指定できます。
詳細については、不正プログラム検索の設定。
不正プログラムイベント
不正プログラムが検出されると、 エージェントによってイベントがトリガされ、イベントログに記録されます。ここでは、イベントに関する情報を表示したり、誤検出が発生した場合にファイルの除外を作成したりできます。実際には無害なファイルを復元することもできます。
詳細については、以下のページを参照してください。
スマートスキャン
スマートスキャンでは、トレンドマイクロのサーバに保存されている脅威シグネチャを使用します。これには、次のような利点があります。
- セキュリティステータスの検索をクラウドベースで高速かつリアルタイムに実行
- 脅威からの保護にかかる合計時間を削減
- パターンファイルのアップデート時に使用されるネットワーク帯域幅を削減 (パターン定義のアップデートの大半は、クラウドで保持され、多数のコンピュータへの配信は不要)
- 企業全体へのパターン展開のコストとオーバーヘッドを削減
- コンピュータにおけるカーネルのメモリ消費を削減 (メモリ消費量の増加を最小限に抑制)
スマートスキャンを有効にすると、 エージェントは最初にローカルでセキュリティリスクを検索します。スキャン中にファイルのリスクを評価できない場合、エージェントはローカルのスマートスキャンサーバへの接続を試行します。ローカルのスマートスキャンサーバが検出されない場合、エージェントはトレンドマイクロのグローバルスマートスキャンサーバへの接続を試行します。この機能の詳細については、を参照してください。 Server & Workload ProtectionのSmart Protection 。
機械学習型検索
Server & Workload Protection は、機械学習型検索を使用して、未知の脅威とゼロデイ攻撃に対する高度なマルウェア保護を提供します。 トレンドマイクロ Predictive Machine Learningは、高度な機械学習技術を使用して脅威情報を関連付け、詳細なファイル分析を実行し、デジタルDNAフィンガープリント、APIマッピング、およびその他のファイル機能を使用して、新たなセキュリティリスクを検出します。
機械学習型検索は、フィッシングやスピアフィッシングなどの手法を使用した標的型攻撃によるセキュリティ侵害からの保護に効果的です。このような場合、特定の環境を標的とするように設計された不正プログラムは、従来の不正プログラム検索手法をバイパスできます。
リアルタイム検索で不明なファイルまたは感染率の低いファイルが検出されると、 エージェントは高度な脅威検索エンジン( エージェント ) を使用してファイルを検索し、ファイルの特徴を抽出します。次に、
トレンドマイクロ Smart Protection Network上の機械学習型検索エンジンにレポートを送信します。機械学習型検索では、マルウェアモデルを使用して、サンプルとマルウェアモデルを比較し、確率スコアを割り当てて、ファイルに含まれる可能性のあるマルウェアの種類を特定します。
ファイルが脅威として識別された場合、 エージェントはそのファイルを駆除、隔離、または削除して、脅威がネットワーク全体に拡散し続けるのを防ぎます。
機械学習型検索の使用の詳細については、次を参照してください。機械学習型検索を使用して新たな脅威を検出。
不正プログラムの種類
不正プログラム対策モジュールは、多くのファイルベースの脅威から保護します。こちらもご覧ください特定の種類の不正プログラムを検索するそして不正プログラムの処理方法の設定。
ウイルス
ウイルスは、不正なコードを挿入してファイルに感染します。通常、感染ファイルを開くと、不正コードが自動的に実行され、他のファイルに感染するだけでなく、ペイロードが配信されます。ウイルスの一般的な種類は次のとおりです。
- [COMおよびEXE感染プログラム] は、DOSおよびWindowsの実行可能ファイルに感染します。通常、拡張子はCOMおよびEXEです。
- [マクロウイルス] は、不正なマクロを挿入してMicrosoft Officeファイルに感染します。
- [システム領域感染型ウイルス] は、オペレーティングシステムの起動手順を含むハードディスクドライブのセクションに感染します。
不正プログラム対策モジュールは、さまざまなテクノロジを使用して感染ファイルを識別して駆除します。最も伝統的な方法は、ファイルの感染に使用される実際の不正コードを検出し、感染ファイルからこのコードを削除する方法です。その他の方法としては、感染可能ファイルへの変更を規制したり、感染ファイルに不審な変更が加えられた場合にそのファイルをバックアップしたりすることもできます。
トロイの木馬
一部の不正プログラムは、コードを他のファイルに挿入して拡散することはありません。代わりに、次のような他の方法や効果があります。
- [トロイの木馬:] 不正プログラムファイルが実行され、開くとシステムに感染します (架空のトロイの木馬など)。
- [バックドア:] ポート番号を開いて、権限のないリモートユーザが感染システムにアクセスできるようにする不正なアプリケーションです。
- [ワーム:] ネットワークを使用してシステム間で増殖する不正プログラムです。ワームは、魅力的なパッケージのメールメッセージ、インスタントメッセージ、または共有ファイルを介してソーシャルエンジニアリングを利用して増殖することが知られています。また、アクセス可能なネットワーク共有に自分自身をコピーし、脆弱性を悪用して他のコンピュータに拡散することも知られています。
- [ネットワークウイルス:] メモリのみまたはパケットのみのプログラムである (ファイルベースではない) ワーム。不正プログラム対策ではネットワークウイルスを検出または削除できません。
- [ルートキット:] オペレーティングシステムコンポーネントへの呼び出しを操作するファイルベースのマルウェアです。監視ソフトウェアやセキュリティソフトウェアなどのアプリケーションでは、ファイルの一覧表示や実行中のプロセスの特定など、非常に基本的な機能を呼び出す必要があります。ルートキットはこれらの呼び出しを操作することで、自身の存在や他の不正プログラムの存在を隠すことができます。
パッカー
パッカーは、圧縮および暗号化された実行可能プログラムです。不正プログラムの作成者は、検出を回避するために、既存の不正プログラムを数層の圧縮と暗号化でパッケージ化することがよくあります。不正プログラム対策は、実行可能ファイルに不正プログラムに関連する圧縮パターンがないかどうかを確認します。
スパイウェア/グレーウェア
スパイウェアとグレーウェアは、別のシステムに送信される情報や別のアプリケーションによって収集される情報を収集するアプリケーションとコンポーネントで構成されます。スパイウェア/グレーウェアの検出には、不正な動作を示す可能性がありますが、リモート監視などの正当な目的で使用されるアプリケーションが含まれる場合があります。既知の不正プログラムチャネルを介して配布されるものを含む、本質的に悪意があるスパイウェア/グレーウェアアプリケーションは、通常、他のトロイの木馬として検出されます。
スパイウェアおよびグレーウェアアプリケーションは、通常、次のように分類されます。
- 個人情報を収集および送信するためにコンピュータにインストールされる[スパイウェア:] ソフトウェア。
- [ダイヤラー:] の不正ダイヤラは、割増料金の番号を介して接続し、予期しない料金を請求されるように設計されています。一部のダイヤラは、個人情報を送信し、不正なソフトウェアをダウンロードします。
- [ハッキングツール:] プログラム、またはコンピュータシステムへの不正アクセスを支援するように設計されたプログラムのセット。
- 広告素材を自動的に再生、表示、またはダウンロードするソフトウェアパッケージを[アドウェア:] といいます。
- [Cookie:] Webブラウザによって保存されるテキストファイル。 Cookieには、認証情報やサイト設定などのWebサイト関連のデータが含まれます。 Cookieは実行可能ではなく、感染することもありません。ただし、スパイウェアとして使用される可能性があります。正規のWebサイトから送信されたCookieでさえ、不正な目的に使用される可能性があります。
- ユーザのキー入力をログに記録し、パスワードやその他の個人情報を盗む[キーロガー:] ソフトウェア。一部のキーロガーは、ログをリモートシステムに送信します。
[グレーウェアの定義]
スパイウェアに類似したアプリケーションは、侵入型の動作を示しますが、正規のアプリケーションと見なされるものもあります。たとえば、一部の市販のリモート制御および監視アプリケーションでは、システムイベントを追跡および収集し、これらのイベントに関する情報を別のシステムに送信できます。システム管理者や他のユーザが、これらの正規のアプリケーションをインストールする可能性があります。これらのアプリケーションは「グレーウェア」と呼ばれます。
不正プログラム対策モジュールは、グレーウェアの不正使用から保護するために、グレーウェアを検出しますが、検出されたアプリケーションを「承認」して実行を許可するオプションを提供します。
Cookie
Cookieは、Webブラウザに保存されるテキストファイルで、 HTTP要求ごとにWebサーバに送信されます。 Cookieには、認証情報、設定、および(感染したサーバからの攻撃が保存されている場合は)SQLインジェクションとXSSエクスプロイトが含まれます。
その他の脅威
その他の脅威には、いずれの不正プログラムの種類にも分類されない不正プログラムが含まれます。このカテゴリには、偽の通知を表示したり画面の動作を操作したりするジョークプログラムが含まれますが、通常は無害です。
潜在的な不正プログラム
不正プログラムの可能性があるファイルとは、不審に見えても特定の不正プログラムの亜種として分類できないファイルです。不正プログラムの可能性が検出された場合は、ファイルの詳細な分析についてサポートプロバイダにトレンドマイクロことをお勧めします。初期設定では、これらの検出はログに記録され、ファイルは保護された方法で分析するためにトレンドマイクロに送信されます。