概要
従来、ウイルス攻撃はウイルス作成者による「愉快犯」型攻撃が中心でした。2005年頃より、金銭の搾取や個人情報の不正取得といった「犯罪・営利目的」型攻撃の比率が増加しています。
このような背景の中、1つのウイルスの亜種を多数発生させる攻撃手法が確認されています。連続的に多数の亜種を発生させる攻撃手法においては、亜種間において高い類似性が確認できます。この特徴は、ウイルス作成者同士が活発にウイルス作成方法(プログラムソースや作成ツール)を公開、共有しているためと考えられます。
トレンドマイクロでは、この類似性という特徴に着目し、ウイルスパターンファイルに対し事前予防(Generic)検出という新たな取り組みを追加します。これにより既知のウイルスにて使用されている技術を転用して作成したような亜種ウイルスの流通より前に予防措置を施しておくことが可能となります。本機能追加が行われることで未知の亜種ウイルスによるウイルス感染の脅威を軽減し、企業経営者、システム管理者の効果的なリスクマネジメント、セキュリティ対策を期待することができます。
詳細
詳細は下記タイトルをクリックして確認ください。
事前予防(Generic)検出パターンとは
事前予防(Generic)検出とは、それぞれの亜種ウイルスに共通すると考えられるシグネチャを類型化したパターンです。既存のウイルスパターンファイルへの機能拡張として採用することで、未知の亜種に対しての予防措置が可能になります。
事前予防検出ソリューションのライフサイクル
トレンドマイクロでは、「TrendLabs」をはじめとする研究機関による情報収集結果、研究成果を早期に反映させ事前予防効果を高めるとともに、誤警告(実際には不正なものではプログラム / ファイルに対する警告)によるシステムへの影響を最小限するべく、以下のライフサイクルに従い、事前予防検出ソリューションを提供してまいります。
能動的に収集された初期型ウイルスは、トレンドマイクロの専門研究機関において、その類似性が分析されます。
分析された類似性に基づき、事前予防(Generic)検出パターンが作成されます。この際、誤検出によるシステムへの影響を考慮し、2段階に分け検出機能が提供されます。
第1段階では、亜種ウイルスによる脅威状況を明確化することを目的としています。ウイルス疑いファイルであることを示す、検出名の先頭(接頭辞)または検出名の最後(接尾辞)を付与した検出名にて警告を行い、現在の被害状況をいち早くお知らせします。第1段階ではトレンドマイクロ推奨処理にて緩やかな処理(放置:Do Nothing)を採用しています。これにより、仮に誤警告であった場合においても、システムに与える影響を最小限に留めます。
第2段階では、亜種ウイルスによる被害を抑止することを目的としています。14日間における第1段階の効果測定が行われた後に、第2段階への移行が行われます。
第2段階においても、第1段階と同様に、ウイルス疑いファイルであることを示す、接頭辞または接尾辞を付与した検出名にて警告が行われます。これに加え、より厳格なトレンドマイクロ推奨処理(* 補足1)が採用されています。これにより、ウイルス被害の抑止効果を高めています。
* 補足1. 第2段階で採用される厳格なトレンドマイクロ推奨処理は[駆除(Clean)]、二次処理 [隔離(Quarantine)]を原則としています。ただし、設定対象のウイルスに応じて、最も効果的な異なる推奨処理が割り当てられる場合があります。
ライフサイクルの例外事項について
弊社研究機関における脅威動向分析の結果、その危険性が高いと認められる場合、第1段階の効果測定期間を短縮させる場合がございます。短縮を行い第2段階への移行を実施する際には、弊社WEBサイトを通じて、注意喚起を実施いたします。
検出時のウイルス検出名について
事前予防(Generic)検出パターンにより検出された場合、接頭辞または接尾辞を読み取ることで、いずれの段階における検出であるのか確認を行うことが可能です。
* 接頭辞の後ろには、ウイルスのファミリ名または、汎用的な名称が名付けられています。
第1段階における事前予防(Generic)検出名
・ウイルスファミリ別に類型化された亜種:
Possible_(例:POSSIBLE_ARKAM )
・暗号化された亜種:
・ウイルスが使用するようなファイル名、通常使用しないファイル名などに対して:
SUSPICIOUS_FILE
第2段階における事前予防(Generic)検出名
MAL_(例:MAL_VUNDO)
※ウイルス検出名は事前予防(Generic)検出パターンの強化に伴い、追加されることがあります。各ウイルスの詳細については、リンク先のウイルス情報をご確認ください。
「トレンドマイクロの推奨処理」の動作について
「トレンドマイクロの推奨処理」の設定をしている場合
例:
| 検出名 | ウイルスの種類 | 一次処理 | 二次処理 |
|---|---|---|---|
| WORM_AGOBOT.A | トロイの木馬 | 隔離 | 削除 |
| WORM_AGOBOT.GEN | Generic | 放置 | - |
※一次処理が「放置」になる理由について
それぞれの亜種ウイルスに共通すると考えられるシグネチャを類型化したパターンにて検出を行っているため、誤警告の可能性もございます。そのため、一定期間の間、 一次処理を「放置」に設定しております。
「トレンドマイクロの推奨処理」を設定していない場合
「放置」されたファイルの取り扱い方法
「放置」処理について
よく寄せられるご質問
Q. 事前予防(Generic)検出パターンは、新しくリリースされるパターンファイルですか。
A. 事前予防(Generic)検出パターンは従来のウイルスパターンファイルの拡張機能の一つとして追加されるシグネチャのことで、新しいパターンファイルとして別途提供されることはありません。
Q. 事前予防(Generic)検出パターンを使用するために必要な要件は何ですか。
A. すべての事前予防(Generic)検出パターンの効力を利用するには、最新のウイルス検索エンジンをご利用いただく必要がございます。最新のウイルス検索エンジンは製品のアップデート機能または、「最新版ダウンロード」より入手いただくことが可能です。
Q. 「トレンドマイクロの推奨処理」の設定を必ず行う必要がありますか。
A. 「トレンドマイクロの推奨処理」の設定は必須ではありません。ただし、設定可能な製品については設定を有効にしていただくことを推奨いたします。設定を行っていただくことによりGeneric検出が行われた疑わしきファイルに対する処理を自動化することが可能となり、システム管理者の負荷を軽減できます。
Q. 事前予防(Generic)検出パターンで検出された場合に、「検索処理の指定」を個別に設定することは可能ですか。
A. 可能です。
注意:事前予防(Generic)検出パターンによる「放置」処理を行う場合には、トレンドマイクロの推奨処理に設定変更する必要があります。ただし、その場合にはタイプ毎に処理内容を手動で設定することはできません。
「検索処理」を[トレンドマイクロの推奨処理]から[隔離]処理に変更してください。検索処理の設定反映後に、ウイルス検索を再度実行することにより、第1段階の検出であっても検出されたファイルに対する隔離処理が行われます。ウイルスが隔離されたコンピュータについては、経過観察を行ってください。設定方法は各製品の「管理者ガイド」(マニュアル)をご確認ください。
Q. 隔離されたファイルが正当なアプリケーションのファイル(誤警告)であることが確認できました。どのように元に戻すことができますか。
A. 隔離されたファイルは安全性を確保するため、暗号化処理が行われています。このため、ツールにより復号を行い、元に戻す必要があります。詳しい操作方法は下記製品Q&Aをご確認ください。