イベント監視

イベント監視は、より一般的な方法で無許可ソフトウェアや不正プログラムの攻撃に対して防御します。この機能では、システム領域で特定のイベントが監視されます。そのため、管理者はそのようなイベントを発生させるプログラムを規制できます。イベント監視は、挙動監視が提供する機能では対応できない特定のシステム保護要件がある場合に使用します。

次の表は、監視対象のシステムイベントをリストしたものです。

表 1. 監視対象のシステムイベント

イベント

説明

システムファイルの複製

さまざまな不正なプログラムに利用される手法で、Windowsのシステムファイル名を使用して、自身または他のプログラムのコピーを作成することがあります。システムファイルと置き換わることで、検出されないようにしたり、ユーザによって削除されないようにするためです。

Hostsファイルの変更

Hostsファイルは、ホスト名をIPアドレスに変換する際に参照するファイルです。Hostsファイルの内容が不正に変更されると、詐欺などを目的とした偽装サイトへ誘導される場合があります。

不審な挙動

不審な挙動は、正規のプログラムではめったに実行されない特定の処理または一連の処理です。不審な挙動を示すプログラムを使用する際は、十分に注意してください。

Internet Explorerプラグインの追加

スパイウェア/グレーウェアにより利用される手口で、不要なInternet Explorerプラグイン (ツールバーやブラウザヘルパーオブジェクトなどを含む) がインストールされることがあります。

Internet Explorer設定の変更

さまざまなウイルス、スパイウェアが利用する手法で、Internet Explorer設定が勝手に変更されることがあります。変更対象には、Internet Explorer設定のホームページや信頼済みサイト、プロキシサーバの設定などがあります。

セキュリティポリシー設定の変更

Windowsのセキュリティポリシー設定が変更されると、不正プログラムの実行やシステムの変更が可能になります。

DLL (プログラムライブラリ) インジェクション

多くの不正プログラムは、すべてのアプリケーションでプログラムライブラリ (DLL) が自動的にロードされるようにWindowsを設定します。これにより、DLL内の不正ルーチンが、アプリケーションが起動するたびに実行されるようになります。

シェル設定の変更

さまざまな不正プログラムに利用される手法で、Windowsのシェル設定が変更され、特定のファイルタイプと関連付けられることがあります。設定が変更されると、Windows Explorerで特定のファイルタイプを開く際に、不正プログラムが実行されるようになります。また、使用しているプログラムが追跡され、不正プログラムが正規プログラムを伴って起動できるようになる場合があります。

サービスの追加

Windowsサービスには特別な機能があり、通常、完全な管理者権限を持ち、バックグラウンドで継続的に実行されます。不正プログラムはサービスとしてインストールされていることがあります。

システムファイルの変更

Windowsシステムファイルは、たとえばスタートアッププログラムやスクリーンセーバーの設定など、システムの動作を定義しています。Windows起動時に自身を自動起動させたり、システムの動作を制御するために、不正プログラムによってこのシステムファイルが変更されることがあります。

ファイアウォールポリシー設定の変更

Windowsファイアウォールポリシー設定は、ネットワークにアクセスできるプログラムや通信のために開くポート、コンピュータとの通信を許可するIPアドレスなどを定義しています。ネットワークやインターネットへのアクセスを可能にするために、不正プログラムによってファイアウォールポリシー設定が変更される場合があります。

システムプロセスの変更

多くの不正プログラムは、ビルトインのWindowsプロセスでさまざまな処理を実行します。これらの処理には、実行中のプロセスの終了や変更が含まれます。

スタートアッププログラムの追加

多くの不正プログラムは、すべてのアプリケーションでプログラムライブラリ (DLL) が自動的にロードされるようにWindowsを設定します。これにより、DLL内の不正ルーチンが、アプリケーションが起動するたびに実行されるようになります。

イベント監視で監視対象のシステムイベントが検出されると、そのイベントに対して設定されている処理が実行されます。

次の表は、監視対象のシステムイベントに対して管理者が行うことのできる処理をリストしたものです。

表 2. 監視対象のシステムイベントに対する処理

処理

説明

診断

イベントに関連するプログラムを常に許可しますが、この処理を診断用にログに記録します。

これは監視対象のすべてのシステムイベントの初期設定の処理です。

注:

このオプションは、64ビットシステムでのプログラムライブラリのインジェクションではサポートされません。

許可

イベントに関連するプログラムを常に許可します。

必要に応じて問い合わせ

イベントに関連するプログラムを許可または拒否するかをユーザに確認し、さらにそのプログラムを除外リストに追加するかどうかを確認するメッセージを表示します。

一定時間内にユーザが応答しない場合、プログラムが自動的に実行されます。この時間の初期設定は30秒です。

注:

このオプションは、64ビットシステムでのプログラムライブラリのインジェクションではサポートされません。

拒否

イベントに関連するプログラムを常にブロックし、この処理をログに記録します。

通知が有効になっている場合、プログラムがブロックされると、ウイルスバスター Corp.クライアントコンピュータにウイルスバスター Corp.からの通知が表示されます。