■ 解説
従来、ウイルス攻撃はウイルス作成者による「愉快犯」型攻撃が中心でした。2005年頃より、金銭の搾取や個人情報の不正取得といった「犯罪・営利目的」型攻撃の比率が増加しています。
このような背景の中、1つのウイルスの亜種を多数発生させる攻撃手法が確認されています。
連続的に多数の亜種を発生させる攻撃手法においては、亜種間において高い類似性が確認できます。この特徴は、ウイルス作成者同士が活発にウイルス作成方法(プログラムソースや作成ツール)を公開、共有しているためと考えられます。
トレンドマイクロでは、この類似性という特徴に着目し、ウイルスパターンファイルに対し事前予防(Generic)検出という新たな取り組みを追加します。これにより既知のウイルスにて使用されている技術を転用して作成したような亜種ウイルスの流通より前に予防措置を施しておくことが可能となります。
本機能追加が行われることで未知の亜種ウイルスによるウイルス感染の脅威を軽減し、企業経営者、システム管理者の効果的なリスクマネジメント、セキュリティ対策を期待することができます。
■ 事前予防(Generic)検出パターンとは
事前予防(Generic)検出とは、それぞれの亜種ウイルスに共通すると考えられるシグネチャを類型化したパターンです。既存のウイルスパターンファイルへの機能拡張として採用することで、未知の亜種に対しての予防措置が可能になります。
■ 事前予防検出ソリューションのライフサイクル
トレンドマイクロでは、「TrendLabs」をはじめとする研究機関による情報収集結果、研究成果を早期に反映させ事前予防効果を高めるとともに、誤警告(実際には不正なものではプログラム / ファイルに対する警告)によるシステムへの影響を最小限するべく、以下のライフサイクルに従い、事前予防検出ソリューションを提供してまいります。
能動的に収集された初期型ウイルスは、トレンドマイクロの専門研究機関において、その類似性が分析されます。
分析された類似性に基づき、事前予防(Generic)検出パターンが作成されます。この際、誤検出によるシステムへの影響を考慮し、2段階に分け検出機能が提供されます。
第1段階では、亜種ウイルスによる脅威状況を明確化することを目的としています。ウイルス疑いファイルであることを示す、検出名の先頭(接頭辞)または検出名の最後(接尾辞)を付与した検出名にて警告を行い、現在の被害状況をいち早くお知らせします。第1段階ではトレンドマイクロ推奨処理にて緩やかな処理(放置:Do Nothing)を採用しています。これにより、仮に誤警告であった場合においても、システムに与える影響を最小限に留めます。
第2段階では、亜種ウイルスによる被害を抑止することを目的としています。14日間における第1段階の効果測定が行われた後に、第2段階への移行が行われます。
第2段階においても、第1段階と同様に、ウイルス疑いファイルであることを示す、接頭辞または接尾辞を付与した検出名にて警告が行われます。これに加え、より厳格なトレンドマイクロ推奨処理(* 補足1)が採用されています。これにより、ウイルス被害の抑止効果を高めています。
* 補足1. 第2段階で採用される厳格なトレンドマイクロ推奨処理は[駆除(Clean)]、二次処理 [隔離(Quarantine)]を原則としています。ただし、設定対象のウイルスに応じて、最も効果的な異なる推奨処理が割り当てられる場合があります。
■ ライフサイクルの例外事項について
弊社研究機関における脅威動向分析の結果、その危険性が高いと認められる場合、第1段階の効果測定期間を短縮させる場合がございます。短縮を行い第2段階への移行を実施する際には、弊社WEBサイトを通じて、注意喚起を実施いたします。
■ 検出時のウイルス検出名について
事前予防(Generic)検出パターンにより検出された場合、接頭辞または接尾辞を読み取ることで、いずれの段階における検出であるのか確認を行うことが可能です。
* 接頭辞の後ろには、ウイルスのファミリ名または、汎用的な名称が名付けられています。
<第1段階における事前予防(Generic)検出名>
・ウイルスファミリ別に類型化された亜種:
Possible_(例:Possible_ZLOB)
・暗号化された亜種:
CRYP_(例:CRYP_TAP)
・ウイルスが使用するようなファイル名、通常使用しないファイル名などに対して:
SUSPICIOUS_FILE
<第2段階における事前予防(Generic)検出名>
MAL_(例:MAL_VUNDO)
※ウイルス検出名は事前予防(Generic)検出パターンの強化に伴い、追加されることがあります。各ウイルスの詳細については、リンク先のウイルス情報をご確認ください。
■ 「トレンドマイクロの推奨処理」の動作について
「トレンドマイクロの推奨処理」は、ウイルス、その他の脅威、スパイウェアなどのグレーウェア用の各種検索処理をあらかじめタイプ別に設定したものです。事前予防(Generic)検出パターンに対する処理を自動化するために、弊社では「トレンドマイクロの推奨処理」の可能な製品に対しては設定を有効にしていただくことを推奨いたします。
・「トレンドマイクロの推奨処理」の設定が可能な製品は以下のものになります。
製品名 | バージョン | 設定可否 | 検出例 |
ウイルスバスター コーポレートエディション | 7.0 / 7.3/ 8.0 | ○ | 
|
ウイルスバスター | 2007 / 2008 | ○ | - |
Trend Micro Client/Server Security | 2.0 | ○ |
|
ウイルスバスター ビジネスセキュリティ | 3.0 / 3.5 / 3.6 | ○ |
|
ServerProtect for WindowsNT/NetWare | 5.58 | ○ |
|
ServerProtect for Linux | 1.25 / 1.3 | × | N/A |
2.5 / 3.0 | ○ | - |
InterScan for Domino | 3.0 | ○ |
|
InterScan for Microsoft Exchange | 7.0 / 8.0 | ○ |
|
InterScan Web Security Suite | 2.5 / 3.0 | × | N/A |
InterScan Messaging Security Suite | 5.11 / 5.18 | × | N/A |
7.0 | ○ | - |
InterScan VirusWall for Small and Medium Businesses | 5.0 | × | N/A |
→「トレンドマイクロの推奨処理」の設定をしている場合
事前予防(Generic)検出パターンにて検出されるファイルはGenericタイプとして分類されます。
該当のファイルは確認済みのウイルスではありませんので他のタイプと異なった、別の処理を実施します。
例:
検出名 | ウイルスの種類 | 一次処理 | 二次処理 |
WORM_AGOBOT.A | トロイの木馬 | 隔離 | 削除 |
WORM_AGOBOT.GEN | Generic | 放置 | - |
※一次処理が「放置」になる理由について
それぞれの亜種ウイルスに共通すると考えられるシグネチャを類型化したパターンにて検出を行っているため、誤警告の可能性もございます。そのため、一定期間の間、 一次処理を「放置」に設定しております。
→「トレンドマイクロの推奨処理を設定していない」、もしくは設定できない製品の場合
事前予防(Generic)検出パターンにて検出されるファイルは、製品毎に以下のとおり分類され、分類されたタイプの設定に従い処理が行われます。
製品名 | バージョン | 分類されるタイプ |
ウイルスバスター コーポレートエディション | 7.0 / 7.3 /8.0 | Generic |
ウイルスバスター | 2007 / 2008 | ウイルス |
Trend Micro Client/Server Security | 2.0 | Generic |
ウイルスバスター ビジネスセキュリティ | 3.0 / 3.5 / 3.6 | Generic |
ServerProtect for WindowsNT/NetWare | 5.58 | ウイルス |
ServerProtect for Linux | 1.25 / 1.3 | ウイルス |
InterScan for Lotus Notes | 2.6 | 駆除不能なウイルスへの処理 |
InterScan for Domino | 3.0 | 駆除不能なウイルスへの処理 |
InterScan for Microsoft Exchange | 7.0/8.0 | ウイルス |
InterScan Web Security Suite | 2.5 / 3.0 | ウイルス |
InterScan Messaging Security Suite | 5.11 / 5.18 | ウイルス(*1) |
7.0 | ウイルス |
InterScan VirusWall for Small and Medium Businesses | 5.0 | ウイルス |
*1検出されたファイルは、検出条件となったシグネチャが分類されるフィルタ結果(マスメーリング、ジョークプログラム等)に設定されたフィルタアクションに基づき処理が行われます。マスメーリング型として検出された場合は、「マスメーリング型ウイルスが検出された場合」のフィルタ結果として分類され、該当のファイルタイプに設定されたフィルタアクションにより処理が行われます。
■「放置」されたファイルの取り扱い方法
検出したファイル自体を検体としてトレンドマイクロサポートセンターまで送付ください。事前予防(Generic)検出パターンによる検出は亜種ウイルスに共通すると考えられる動作パターンを有する疑わしきファイルに対する警告です。このため、実際には不正なものではない何らかのプログラム / ファイルに対し警告を行っている場合があります。
■寄せられる質問
Q. 事前予防(Generic)検出パターンは、新しくリリースされるパターンファイルですか。
A. 事前予防(Generic)検出パターンは従来のウイルスパターンファイルの拡張機能の一つとして追加されるシグネチャのことで、新しいパターンファイルとして別途提供されることはありません。
Q. 事前予防(Generic)検出パターンを使用するために必要な要件は何ですか。
A. すべての事前予防(Generic)検出パターンの効力を利用するには、最新のウイルス検索エンジンをご利用いただく必要がございます。
最新のウイルス検索エンジンは製品のアップデート機能または、「最新版ダウンロード」より入手いただくことが可能です。
Q. 「トレンドマイクロの推奨処理」の設定を必ず行う必要がありますか。
「トレンドマイクロの推奨処理」の設定は必須ではありません。ただし、設定可能な製品については設定を有効にしていただくことを推奨いたします。設定を行っていただくことによりGeneric検出が行われた疑わしきファイルに対する処理を自動化することが可能となり、システム管理者の負荷を軽減できます。
Q. 「放置」処理について、詳しく教えてください。
A. これまで一部製品では、「放置」処理を選択した場合、基本動作として、検出された疑わしきファイルがプロセスとしてメモリ上にロードされる場合に、プロセスの動作の停止を行っておりました。しかし、事前予防(Generic)検出パターンと「トレンドマイクロの推奨処理」の組み合わせで検出された場合、プロセスの停止は行われなくなります。その他の処理は「放置」と同様に扱われ、対象のファイルに対する処理(削除、隔離、拡張子変更等)は行われません(Genericタイプとして分類されたファイル以外は、任意で設定を行わない限り、自動的に放置されることはありません)。
以下に、事前予防(Generic)検出パターン未適用の状態で、「放置」処理実行時にプロセス停止の機能を持つ製品を記載します。
製品名 | バージョン |
ウイルスバスター コーポレートエディション | 7.0 / 7.3 / 8.0 |
ウイルスバスター | 2007 / 2008 |
Trend Micro Client/Server Security | 2.0 |
ウイルスバスター ビジネスセキュリティ | 3.0 / 3.5 / 3.6 |
ServerProtect for WindowsNT/NetWare | 5.58 |
Q. 事前予防(Generic)検出パターンで検出された場合に、「検索処理の指定」を個別に設定することは可能ですか。
A. ウイルスバスター コーポレートエディション バージョン 7.0/7.3、Trend Micro Client/Server Security、ウイルスバスター ビジネスセキュリティでは、「検索処理の指定」を個別に設定することが可能です。
注意:前述の表にあるデスクトップ対策製品において、事前予防(Generic)検出パターンによる「放置」処理を行う場合には、トレンドマイクロの推奨処理に設定変更する必要があります。ただし、その場合にはタイプ毎に処理内容を手動で設定することはできません。
(ウイルスバスター コーポレートエディション 7.0/7.3設定例)
(Trend Micro Client/Server Security設定例)
(ウイルスバスター ビジネスセキュリティ設定例)
Q. 複数のコンピュータから第1段階の事前予防(Generic)検出パターンによりウイルス疑いファイルが検出されています。すべてのファイルを集めることができません。
A. 「検索処理」を[トレンドマイクロの推奨処理]から[隔離]処理に変更してください。検索処理の設定反映後に、ウイルス検索を再度実行することにより、第1段階の検出であっても検出されたファイルに対する隔離処理が行われます。
ウイルスが隔離されたコンピュータについては、経過観察を行ってください。
設定方法は各製品の「管理者ガイド」(マニュアル)をご確認ください。
Q. 隔離されたファイルが正当なアプリケーションのファイル(誤警告)であることが確認できました。どのように元に戻すことができますか。
A. 隔離されたファイルは安全性を確保するため、暗号化処理が行われています。このため、ツールにより復号を行い、元に戻す必要があります。詳しい操作方法は下記製品Q&Aをご確認いただけますでしょうか。
・ ウイルスバスター 2008:「誤警告によりファイルが隔離された場合の対処方法」
・ ウイルスバスターコーポレートエディション:「ツール:暗号化された隔離ファイルを元に戻す方法」
・ ServerProtect:「ウイルスとして誤検出され、隔離されたファイルを元の場所に戻す方法」
