search cancel

SymDiag の脅威分析スキャンについて

book

Article ID: 229679

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

この文書では、Symantec Diagnostic Tool (SymDiag) の脅威分析スキャンの機能について説明します。

Resolution

Symantec Diagnostic Tool (SymDiag) は、複数の Symantec 製品のサポートを自動化するための診断ユーティリティです。SymDiag には、システム上の疑わしいファイルを特定するのに役立つ脅威分析スキャンというユーティリティがあります。SymDiag の詳細については SymDiag をダウンロードして製品の問題を検出する を参照してください。

脅威分析スキャンは、システム上にマルウェアが存在する可能性があるにもかかわらず、セキュリティソフトウェアがそれを検出できない、あるいは修正できない場合に使用します。脅威分析スキャンは、次のような種類のマルウェアを特定するのに役立ちます。

  • 現在の定義セットでは検出されない既存の脅威の新しい亜種
  • 偽のアンチウイルス・アプリケーションやその他のローグウェア
  • ルートキット
  • 悪意を持って変更されたシステム設定

脅威分析スキャンでは、これらの脅威を検出するために積極的なヒューリスティック技術を使用しているため、一部の正当なプログラムが削除対象として選択される可能性があります。疑わしいと判断されたファイルは必ず確認し、安全なアプリケーションであることがわかっているものは消去してから、さらに調査したり、システムからファイルを削除したりする手順を踏む必要があります。

デフォルトでは、脅威分析スキャンはテクニカルサポートと連携して必要なデータを収集するように設定されていますが、サポートを受けずに不審なファイルを見つけて削除することもできます。

対応オペレーティングシステム

脅威分析スキャンは、.NET 3.0 以降を搭載した Windows OS で動作します。以下の Windows OS では脅威分析スキャンは実行されません。

  • Windows 2000
  • Windows XP RTM
  • Windows XP SP1
  • Windows 2003/R2 - 脅威分析スキャンの内部コンポーネントは、このオペレーティング システムをサポートしていません。

以下の環境では、脅威分析スキャンが効果的に動作しない場合があります。

  • セーフモード - Symantec Power Eraser コンポーネントのために、ネットワークが利用可能であることを確認してください。
  • システムアカウント - 脅威分析スキャンの初期設定では、現在のユーザーアカウントのみを検査します。システムアカウントは、このユーザーに疑わしいファイルを特定するためのコンテキストを提供しません。

脅威分析スキャンは何をするのですか?

Windows の各バージョンには、ファイルシステムやレジストリ内に、ユーザーの明示的な同意なしにアプリケーションや関連ファイルを自動的にロードするための特定の場所があります。これらの「ロードポイント」は、正規のプログラムによって使用される一方で、ウイルス、トロイの木馬、ワーム、スパイウェアなどのマルウェアの攻撃ベクターとしてもよく使用されます。脅威分析スキャンでは、これらの場所から起動するファイルを検査して、正規のファイルである可能性が低いファイルを絞り込みます。

脅威分析スキャンでは、ロードポイントから参照されるファイルを判断した後、以下のような手法や技術を用いてファイルを分析し、スコアリングを行います。

ファイルの署名チェック

脅威分析スキャンでは、ファイルが有効な Authenticode または Windows セキュリティカタログ証明書で署名されていれば、そのファイルはリスクになる可能性が低いと判断します。

Symantec Insight

脅威分析スキャンでは、Symantec Insight を使用して、ファイルが信頼できるかどうかを識別します。Symantec Insight は、オンライン (クラウド) サービスとしてシマンテック製品で利用できる、評価に基づいたシステムです。このため脅威分析スキャンは、インターネットに接続されたシステム上で実行 (または完了) する必要があります。 詳しくは、Symantec Endpoint Protection が Symantec Insight を使ってファイルに関する決定を下す方法 をご覧ください。

Symantec Power Eraser

Symantec Power Eraser は、アンチマルウェアソフトウェアの定義で検出される前に、潜在的なマルウェアを識別するためにヒューリスティックを使用します。これらのヒューリスティックは、Symantec Insightへの即時アクセスを必要とします。このため Symantec Power Eraser のヒューリスティックは、オンライン中のシステムで脅威分析スキャンが実行された場合にのみ適用されます。脅威分析スキャンがオンラインで実行されない場合、Symantec Power Eraser のヒューリスティックはシステムに適用されません。

Symantec Power Eraser のヒューリスティックは、更新可能な定義のセットで定義されます。Symantec Power Eraser は、実行時に最新の定義を自動的にダウンロードします。どの定義がスキャンに適用されたかは、脅威分析スキャンレポートウィンドウの右上隅にある [定義] リンクをクリックすることで確認できます。

Symantec Power Eraser は、別のオプションとして、特別なルートキット検出ヒューリスティックを提供します。このオプションを選択するには、システムを再起動する必要があります。再起動後、脅威分析スキャンはSymantec Power Eraser を使って、再起動中に収集したデータに基づいて追加のファイルを検査します。

また、Symantec Power Eraserは疑わしいファイルをシステムから削除するだけでなく、その削除が不要であると判断された場合には、ファイルを復元することもできます。

Security Response manual heuristics (旧ロードポイント分析)

シマンテックのセキュリティレスポンスチームは、マルウェアの可能性があるとして提出されたファイルを調査します。このようなファイルを発見してきた長年の経験から、提出サイトに提出する価値のあるファイルを切り分けるために、いくつかのシンプルなファイル情報のチェック方法を開発しました。これらの手作業によるヒューリスティックなチェックの多くは、脅威分析スキャンでは自動化されています。脅威分析スキャンでは、Symantec Insight で安全性が確認されていない署名のないファイルが見つかると、これらのヒューリスティックチェックがファイルに適用され、ファイルの総合的なスコアがさらに指定されます。

脅威分析スキャンの実行

SymDiag の脅威分析スキャンによる疑わしいファイルの特定 を参照してください。

脅威分析スキャンで潜在的なリスクを発見した場合は?

脅威分析スキャンでさらに調査が必要なファイルが特定された場合、まず最初に行うべきことは、問題のファイルをチェックすることです。

  • そのファイルは最近インストールしたプログラムに属するものですか?
  • そのファイルは有効とわかっているプログラムに属していますか?

ファイルの有効性が判断できない場合は、セキュリティレスポンスにファイルを提出し、分析を依頼してください。また、テクニカルサポートに連絡してサポートを受けることもできます。

他のユーザープロファイルのスキャン

検出されていないマルウェアのせいで起動プロセスが失敗し、ユーザーがシステムにログインできないことがあります。潜在的なマルウェアがそのユーザーに関連するロードポイントのみを使用している場合、マルウェアを発見するためには、そのユーザーのロードポイントをスキャンする必要があるかもしれません。脅威分析スキャンには、現在システムにログインしているユーザープロファイル以外のユーザープロファイルをスキャンする機能があります。この機能を利用するには、スキャンを開始する前に [拡張オプション] をクリックします。拡張オプションのダイアログで [他のユーザープロファイルのロードポイントのスキャン] のボックスをチェックします。このオプションをチェックすると、すべてのプロファイルをスキャンするか、1 つまたは複数の特定のプロファイルをスキャン対象として追加するかの選択肢がさらに表示されます。どちらを選んでも、そのシステム上の他のユーザープロファイルのロードポイントのスキャンが追加されます。Symantec Power Eraser の機能の一部として、この機能はスキャンを実行するシステムからインターネットへの即時アクセスを必要とします。

脅威分析スキャンのオフライン実行

脅威分析スキャンを実行するためには、システムがオンラインである必要はありません。ただしレポートの結果を見るためには、インターネットにアクセスできる別のシステムで脅威分析スキャンを完了させる必要があります (SymDiag の脅威分析スキャンによる疑わしいファイルの特定 を参照)。これは Symantec Insight が手作業による調査を必要とするファイルの数を正確に大幅に減らすことができる重要な技術であるためです。脅威分析スキャンのレポートは、Symantec のレピュテーション情報が提供されないと表示されません。

脅威分析スキャンに搭載されている Symantec Power Eraser テクノロジーは、スキャン対象のシステムにインターネットが接続されている必要があります。また、Symantec Power Eraser テクノロジーが提供する脅威分析スキャンの以下の機能は、スキャンされるシステムの内部接続がないと利用できません。

  • ファイルの削除と復元
  • 他のユーザープロファイルのスキャン
  • Symantec Power Eraser ゼロデイヒューリスティック

Symantec Power Eraser テクノロジーの提供の有無にかかわらず、セキュリティレスポンスマニュアルのヒューリスティックが適用され、ユーザはどのファイルがマルウェアの可能性があるかを十分に判断することができます。いずれの場合も、脅威分析スキャンのレポートが表示される前に、ファイル署名チェック、Symantec Insight データ、セキュリティレスポンスの手動ヒューリスティックがスキャン結果に適用されます。

Power Eraser と Autoruns

Autorunsは、ロードポイントをスキャンし、それらのロードポイントがどのようにアプリケーションを自動的に起動するように設定されているかの詳細情報を表示する SysInternals のユーティリティです。Power Eraser は、Autoruns と同じロードポイント/"auto-starting" の場所をすべてチェックします。

Additional Information

[English version] About the Threat Analysis Scan in SymDiag