ビジネスサポートポータルアカウントでログイン
[Tips] ルートキット (Rootkit) を含む不正プログラム の侵入を捕捉する方法について  

[Tips] ルートキット (Rootkit) を含む不正プログラム の侵入を捕捉する方法について

    • 更新日:
    • 17 Jul 2017
    • 製品/バージョン:
    • Trend Micro Deep Security All.All
    • OS:
    • Windows すべて
概要
この文書では、Trend Micro Deep Security が提供する Integrity Monitoring (変更検知) 機能を利用して、効果的にルートキットプログラムの侵入を検知するための方法を説明します。
詳細
Public

Deep Security 9.0 以降より、”Deep Packet Inspection”および”DPI” が"侵入防御" に名称変更されました。

Trend Micro Deep Security が提供する Integrity Monitoring (変更検知) 機能を利用すると、ファイルの作成や変更、削除といったファイルシステムに加えられる一連の変更を監視、報告することが出来るようになります。

通常、頻繁に変更が発生することが考え難いサーバーのシステムディレクトリを監視することで、不正プログラムの侵入を効率的に捕捉することが出来るようになります。

例えば、ルートキットプログラムは、オペレーティングシステム内に侵入すると、システムの起動と同時に自身が実行されるようにシステムを変更し、さらにはエクスプローラなどのファイル操作プログラムや、タスクマネージャを含むプロセス監視ツールに対して、自身の存在を秘匿します。

Integrity Monitoring 機能を適切に構成し利用することで、ルートキットのように自身を秘匿するような不正プログラムが侵入してきたような場合でも、Deep Security システムが管理者に対してファイルが作成されたことをお知らせすることが出来るようになります。

管理者は、作成されたファイルが正規のものかを確認するために、Deep Security が報告したファイルの位置をエクスプローラなどを利用して確認することが出来ます。
しかし、ルートキットプログラムの場合には、管理者がエクスプローラなどでファイルの存在を確認しようとした際、自身を秘匿しているため、表示されません。

Deep Security システム上で、ファイル生成のログが存在し、当該ファイルが削除されたログがないにも関わらず、エクスプローラなどに表示されない場合、管理者はルートキット侵入の可能性を考慮することが出来るようになり、適切な次のアクションを定義することが可能になります。


注1: 未知のものを含むすべての不正プログラムの検出を保証するものではありません。
注2: 侵入されてしまった不審なプログラムの解析や駆除には別途他のソリューションが必要になる場合があります。

Premium
Internal
評価:
カテゴリ:
操作方法/設定
Solution Id:
1311668
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド