ユーザーズガイド KASPERSKY ANTI-VIRUS 6.0 FOR WINDOWS WORKSTATIONS

[. . . ] KASPERSKY LABS JAPAN Kaspersky® Anti-Virus for Windows Workstation 6. 0 ユーザガイド © Kaspersky Labs Japan http://www. kaspersky. co. jp Revision date: June, 2007 目次 第 1 章 コンピュータセキュリティ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1. 1. 脅威はどこから来るのか . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1. 2. 脅威の広がり方 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1. 3. 脅威の種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 1. 4. [. . . ] ウェブアンチウイルスの設定ウィンドウを開き、[セキュリティレベル] ボックスの [カスタ マイズ] ボタンをクリックします 表示されたウィンドウ (図. 29) の [スキャン方法] セクションで、スキャン方法を選択し ます デフォルト設定では、ウェブアンチウイルスは完全な定義データベースを使用してバッファスキャ ンを行います。ファイルフラグメントによるキャッシュ制限時間は 1 秒です。 ウェブアンチウイルス 91 図 29. ウェブアンチウイルスの設定 ヒント： インターネットラジオ、ストリーミングビデオなどの利用中に問題が発生した場合は、ストリーミング スキャンを使用してください。 9. 2. 2. 信頼する URL リストの作成 ダウンロードするオブジェクトを信頼するアドレスのリストに追加できます。ウェブアンチウイルス は、これらのアドレスを発信元とするデータを分析しません。このオプションは、特定ファイルのダ ウンロードがブロックされるためにダウンロードできないなど、ウェブアンチウイルスがインターネッ トの利用を妨げる場合に使用してください。 信頼する URL リストを作成するには： 1. ウェブアンチウイルスの設定ウィンドウで [カスタマイズ] をクリックします 表示されたウィンドウ (図. 29) の [信頼する URL] セクションで、信頼するサーバのリ ストを作成します。右側にある各種ボタンを使用してください 信頼するアドレスを入力する場合は、以下のワイルドカードを使ってマスクを作成できます： * - 文字の任意の組み合わせ 例： *abc* というマスクの場合、abc を含む URL はスキャンされません。 URL 例: www. virus. com/download_virus/page_0-9abcdef. html 92 Kaspersky Anti-Virus 6. 0 for Windows Workstation ?- 指定の 1 文字 例： Patch_123?. com というマスクの場合、Patch_123 に続く任意の 1 文字を含む URL はスキャンされません。たとえば、Patch_1234. com はスキャンされませんが、 patch_12345. com はスキャンされます。 「*」や「?」がすでに URL アドレスに含まれている場合は、1 文字前に円記号 (\) を追加してくださ い。 例： 下記の URL を信頼するリストに追加するには: www. virus. com/download_virus/virus. dll?virus_name= 「?」はワイルドカードなのでそのままでは使用できません。円記号 (\) を「?」の前に入れてくださ い。この例の URL では以下のようになります www. virus. com/download_virus/virus. dll\?virus_name= 9. 2. 3. ウェブアンチウイルス設定の初期化 変更を加えた設定内容を元に戻すには、設定を初期化します。初期設定はカスペルスキーの推 奨設定です。 ウェブアンチウイルスの設定を初期化するには： 1. メインウィンドウで [ウェブアンチウイルス] を選択して [設定] をクリックします [セキュリティレベル] セクションの [初期化] ボタンをクリックします 9. 2. 4. 感染オブジェクトの処理 不正コードを検知した場合、ウェブアンチウイルスは適用されている設定に基づいて処理を行い ます。 危険なオブジェクトを検知した際の処理を設定するには： 設定ウィンドウから [ウェブアンチウイルス] を選択します。[検知時の処理方法] ボックス (図. 30) に処理方法がリストされているので、任意のオプションを選択してください。 デフォルトでは、警告ウィンドウが表示され、ユーザに処理を確認します。 図 30. 危険なスクリプトに対する処理の選択 ウェブアンチウイルス 93 処理内容は以下のとおりです： 選択した処理 通知画面を表示し処理を 選択する 遮断する 検知時の処理 不正コードの情報と感染が疑われるファイルの名称、処理方法 のリストが通知ウィンドウに表示されます オブジェクトへのアクセスが遮断され、メッセージウィンドウが表 示されます。処理内容はレポート (187p の 17. 3 項を参照) に 記録されます アクセスを許可して処理内容をレポートに記録します 許可する 危険なスクリプトを検知すると、ウェブアンチウイルスは常にアクセスを遮断してポップアップウィ ンドウを表示します。ポップアップを表示しないようにするには、スクリプトスキャンを無効にする必 要があります。 第10章 プロアクティブディフェンス 注意!このバージョンのアプリケーションには、Microsoft Windows XP Professional x64 Edition または Microsoft Windows Vista あるいは Microsoft Windows Vista x64 が動作するコンピュータ向け の Office ガード (プロパティアクティブディフェンスコンポーネント) が備わっていません。 Kaspersky Anti-Virus for Windows Workstation 6. 0 は既知の脅威だけではなく、定義データベ ースに登録されていない未知の脅威からもコンピュータを保護します。この機能を実現しているの が「プロアクティブディフェンス」です。 亜種を含む新種のマルウェアの拡散が、対抗策である定義データベースのリリースよりも圧倒的 な早さを見せる現在、ヒューリスティックを含むプロアクティブディフェンスは無くてはならない機能 になっています。これまでの定義データベースを利用したリアクティブ保護だけでは、新種のマル ウェアが少なくとも 1 台以上のコンピュータへ感染した後にそれを分析してデータベースに登録が 行われます。登録されたデータベースはさらにそれを各コンピュータへ配布する時間が必要となり、 この間、新種のマルウェアの活動を許してしまうことになります。 Kaspersky Anti-Virus for Windows Workstation 6. 0 のプロパティアクティブディフェンスが提供 する予防的技術は、リアクティブな技術ほど時間がかからず、コンピュータが害を受ける前に新規 脅威を無害化します。それはどのようになされるのか？脅威シグネチャを使用してコードを解析す るリアクティブな技術とは対照的に、予防的技術はプログラムが見せる一連の動作によって新規 脅威を認識します。インストールされるアプリケーションには、プログラムの動作がどのくらい危険 であるかを判断するための基準が備わっています。動作分析によってあるプログラムの動作が疑 わしいと判断されると、Kaspersky Anti-Virus は特定タイプのアクティビティに対して割り当てられ た措置をとります。 プロアクティブディフェンス 95 Kaspersky Anti-Virus for Windows Workstation 6. 0 のプロアクティブディフェンスは予防の技術 です。定義データベースで未知の脅威に対応するまでの間、コンピュータの感染を防ぎます。アプ リケーションやプロセスのふるまいを分析し、危険な活動のレベルを判定します。アプリケーション のふるまいがマルウェアの動きに類似していると、これを疑わしいソフトウェアとして分類し、指定 のルールを適応します。危険なふるまいの例としては以下の動作があります： • • • • ファイルシステムの変更 他のプロセスに埋め込まれたモジュール 隠しプロセス (Rootkit) システムレジストリの変更 プロアクティブディフェンスは危険な操作を追跡し遮断します。 また、Microsoft の Office 製品上で実行される VBA マクロの監視も行います。 プロアクティブディフェンスでは、除外リストとプログラムを含んだルールを使用します。「ルール」 とは、疑わしいふるまいとそれらに対する Kaspersky Anti-Virus for Windows Workstation 6. 0 の対応を定義する一連の基準です。 96 Kaspersky Anti-Virus 6. 0 for Windows Workstation 個別のルールは、アプリケーションの動作やシステムレジストリ、マクロ、コンピュータで実行され るプロセスを監視します。ルールを追加、削除、編集して編集できるだけでなく、ルールによって動 作の遮断と許可を選択できます。 プロアクティブディフェンスの動作は次のとおりです： 1. コンピュータが起動すると、プロアクティブディフェンスは次の分析を行います： • コンピュータで実行している各アプリケーションの動作 - プロアクティブディフ ェンスは動作を記録し、危険な動作の特徴に一致するかどうか監視します (危険な動作タイプのデータベースは製品に付属しており、定義データベース とともに更新されます) VBA マクロの動作 - 危険な動作のリストに含まれたプログラムに対してスキ ャンを行います アプリケーションモジュールの改ざん - 悪意のあるコードがモジュールの入 れ替えを行おうとすることを防ぎ、悪意のあるプログラムが変更したアプリケ ーションを実行することを防ぎます システムレジストリの編集 - レジストリキーの追加や削除、値の追記などを 監視します • • • 2. 3. プロアクティブディフェンスのルールと除外ルールは分析のために使用します 分析後、次の選択を行うことができます： • • プロアクティブディフェンスの許可ルールに適合した場合は、実行をブロック しません 遮断ルールに一致した場合は、ルールに指定された指示が実行されます。 アプリケーションやふるまいのタイプ、動作の履歴がウィンドウに表示される ので、処理方法 (許可または遮断)を指定してください。そのような動きに対し てルールを作成でき、実行済みの動作を元に戻すこともできます コンピュータで実行されたイベントの結果がルールにより規制されない場合、 実行は許可されます • 10. 1. 設定方法 プロアクティブディフェンスには次の設定 (図. 31) を行うことができます： • アプリケーションの動きを監視 アプリケーションのふるまいはアプリケーションアクティビティアナライザを有効にする ( ) と監視されます。デフォルトでこのオプションは有効になっています。コンピュータで 実行されるあらゆるプログラムの活動が追跡されます。危険な動きのセットは反転表示さ れています。アプリケーションの処理順序 (98p を参照) を設定できます。アプリケーショ ンを監視から除外することもできます プロアクティブディフェンス 97 図 31. プロアクティブディフェンスの設定 • システムレジストリの監視 デフォルトでは、[レジストリガードを有効にする] オプションは無効 ( ) になっています。 レジストリガードはシステムレジストリの行われる編集を監視し、キーの追加や削除、変 更が行われると、ユーザに処理を確認します レジストリガードのルールについては 105pを参照してください。 • マクロの監視 コンピュータのマクロ監視は、[Office ガードを有効にする] オプションにチェック ( ) を 入れると有効になります。デフォルトで有効になっているので、VBA マクロの監視が行わ れます 危険と見なすマクロの設定と処理方法の選択については 101p の 10. 1. 2 項を参照して ください このプロパティアクティブディフェンスコンポーネントは、Microsoft Windows XP Professional x64 Edition、Microsoft Windows Vista または Microsoft Windows Vista x64 では使用できません。 98 Kaspersky Anti-Virus 6. 0 for Windows Workstation プロアクティブディフェンスの除外 (56p の 6. 3. 1 項を参照) や信頼するアプリケーション (60p の 6. 3. 2 項を参照) を登録することもできます。 各セクションの詳細な設定については以下をご参照してください。 10. 1. 1. アクティビティコントロールのルール Microsoft Windows XP Professional x64 Edition、Microsoft Windows Vista または Microsoft Windows Vista x64 でのアプリケーションコントロールは、その他オペレーティングシステムでの 設定プロセスと異なります。 これらオペレーティングシステムでのアクティビティコントロールについては、セクションの最後で説 明します。 Kaspersky Anti-Virus for Windows Workstation 6. 0 はコンピュータ上のすべてのアプリケーショ ンアクティビティ (動作) を監視します。この機能を有効にするには [アプリケーション動作の監視 を有効にする] にチェック ( ) を入れてください。 プログラムには危険な動作のルールが含まれています。ルールは危険な動きのタイプごとにされ ています。もしアプリケーションの動作が危険な動きだと判定されると、プロアクティブディフェンス はルールに従って処理を行います。 危険な動きのタイプ： • 危険なふるまい - コンピュータにインストールされたアプリケーションのアクティビ ティを分析します。また、カスペルスキーによって作成された一連のルールに基づ いて危険または疑わしい動作を検知します。そのような動作にはプログラムの隠し インストール、プログラムの自己コピーなどがあります パラメータを用いたインターネットブラウザの開始 - このアクティビティはコマンドプ ロンプトから Microsoft Internet Explorer を実行する動作です。たとえば、メール 内の広告 URL をクリックしたときにブラウザが自動的に起動する動作です。これ は指定の設定からブラウザが開始されます。この種類の動作は悪意のあるプログ ラムの中で一般的に使われています。しかし、この動作は常に脅威というわけでは ありません プロセスへの侵入 (インベーダ) - プログラムにコードやプロセスを追加する動作で す。この動作はトロイの木馬でよく使われます。しかし、通常のプログラムのインス トール時や更新時にも同じ動作が発生します 隠しプロセス (ルートキット) - ルートキットは、悪意あるプログラムとそのプロセス を隠すためのプログラムです。Kaspersky Anti-Virus は、隠しプロセスがないかど うかオペレーティングシステムを分析します ウィンドウフック - このアクティビティは、オペレーティングシステムのダイアログボ ックスに表示されたパスワードやその他機密情報を読み取るために使用されます。 Kaspersky Anti-Virus は、オペレーティングシステムとダイアログボックスの間で転 送されるデータを傍受する試みを追跡します • • • • プロアクティブディフェンス 99 • レジストリの疑わしい値 - システムレジストリは、Windows やコンピュータ上のユ ーティリティの操作をコントロールするシステム設定およびユーザ設定を保管する データベースです。システム内での存在を隠そうと試みる悪意あるプログラムは、 レジストリキーに不正な値をコピーします。 Kaspersky Anti-Virus は、疑わしい値 がないかどうかレジストリ項目を分析します 疑わしいシステムの動作 - Microsoft Windows の動作を分析し、疑わしい動作を 検知します。疑わしい動作の例としては、監視対象アプリケーションが最後に実行 されてからアプリケーションの 1 つ以上のモジュールを変更する整合性違反があ ります キーロガー - これはパスワード入力を始めとする、重要な情報をキーボード入力 の履歴を盗む動作です。しかし、正当な理由でキーボードからの入力情報を取得 するプログラムは数多く存在します。キーボードレイアウトの配置を換えるプログラ ムなどがその一例です Microsoft Windows タスクマネージャの保護 - Kaspersky Anti-Virus は、タスクマ ネージャの機能を遮断するために悪意のあるモジュールが挿入されるのを防ぎま す • • • 定義データベースの更新時に、危険な動作のリストも自動的に追加されます。ただし編集はでき ません。ユーザが実行できる設定は次のとおりです： • • • 1. 3. 監視をオフにする (名称の横の を外す) 危険な動きを検知した際のルールを編集する 監視の除外リスト (55p の 6. 3 項を参照) を作成する 監視設定を変更するには： メインウィンドウから [設定] をクリックして設定ウィンドウを開きます ツリーウィンドウから [プロアクティブディフェンス] を選択します [アプリケーションアクティビティアナライザ] セクションから [設定] ボタンをクリックしま す プロアクティブディフェンスが監視する動作のタイプは [アプリケーションアクティビティアナライザ の設定] ウィンドウ (図. 32) に一覧表示されています。 100 Kaspersky Anti-Virus 6. 0 for Windows Workstation 図 32. アプリケーションアクティビティアナライザの設定 危険なふるまいを監視するルールを編集するには、リストからルールを選択して下部のウィンドウ 内で処理方法を変更します： • プロアクティブディフェンスの危険なふるまいの処理方法を割り当てます 処理には次の動作を割り当てることができます： 許可、ユーザ選択、遮断。処理の右手 に表示されているリンクをクリックすると、処理の種類が変更されます。プロセスを停止し、 隔離することもできます。オン/オフリンクをクリックして選択してください • ログの記録も同様にリンクをクリックしてオン/オフを切り替えてください ) を外します。 監視対象から外す場合は、リスト内の対象名称の横にあるチェック ( Windows XP Professional x64 Edition、Microsoft Windows Vista または Microsoft Windows Vista x64 で動作する Kaspersky Anti-Virus でのアプリケーションアクティビティ コントロールの特殊要件： 上記のオペレーティングシステムの場合、コントロール対象となるのは危険なふるまいだけです。 Kaspersky Anti-Virus for Windows Workstation 6. 0 は、コンピュータにインストールされている アプリケーションの動作を分析し、カスペルスキーの作成したルールに基づいて危険な動作また は疑わしい動作を検知します。 ユーザプロセスだけでなくシステムプロセスの動作も監視する場合は、 [システムユーザアカウン トを参照する] チェックボックスにチェック ( トではオフになっています。 ) を入れます (図. [. . . ] ウイルススキャンの設定 ここでは、ウイルススキャンタスクの設定を行います。 [セキュリティレベル] セクションで、セキュリティオプションを選択します （158p の 14. 4. 1 項を参 照）。選択したレベルを調整するには、[設定] ボタンをクリックします。推奨設定に戻すには、[初 期値] ボタンをクリックします。 Kaspersky Administration Kit 251 [処理方法] セクションで、危険なオブジェクトが検知されたときに Kaspersky Anti-Virus が実行 する動作を指定します (162p の 14. 4. 4 項を参照)。 ステップ 5. 更新の設定 ここでは、Kaspersky Anti-Virus の更新配布機能を設定します。 [更新処理の設定] セクションで、更新対象を指定します （175p の 16. 4. 2 項を参照）。[設定] ボ タンをクリックしてウィンドウを開き、ローカルネットワーク設定の割り当て (176p の 16. 4. 3 項を 参照) と更新元の指定 （173p の 16. 4. 1 項を参照） を行います。 [更新後の処理] セクションで、新規更新パッケージを受け取った後の隔離フォルダのスキャンを 有効または無効にします。 ステップ 6. ポリシーの適用 ここでは、このグループのクライアント PC でのポリシー適用方法を選択します。詳細については、 『Kaspersky Administration Kit 6. 0 管理者用マニュアル』を参照してください。 ステップ 7. ポリシー作成の終了 最後のウィンドウでは、ポリシーが正しく作成されたことが通知されます。 ウィザードが完了すると、対応するグループの [ポリシー] フォルダ (図 104) に Kaspersky AntiVirus ポリシーが追加され、結果ウィンドウ枠に表示されます。 作成したポリシーの編集と変更に対する制限は、各設定グループの ボタンを使用して変更で きます。クライアント PC では、ロックされた設定を変更できません。ポリシーは、クライアント PC が初めてサーバと同期するときにクライアントに適用されます。 コンテキストメニューの [コピー]/[貼り付け]、[切り取り]/[貼り付け]、[削除] または [操作] メニュ ーの同様のコマンドを使用して、ポリシーをグループ間でコピーまたは移動できます。 20. 3. 2. [. . . ]