Symantec Endpoint Protection クライアントのアンチウイルス機能では軽減できない脅威が環境に存在する。アプリケーションとデバイス制御機能はクライアントにインストールされており正常に機能している。不審なファイルが脅威として認識されている。

注: 脅威の中には、使用するファイルを変異して感染を行うものがあります。この動作によりファイルのフィンガープリントが変更されることがあります。これらの手順はすべての脅威に対して完全に有効であるとは限りません。

最初のステップは脅威の MD5 ハッシュを特定することです。この情報を見つけるにはいくつかの方法があります。

フィンガープリントの生成

解決方法 1

Endpoint Protection クライアントには Checksum.exe というユーティリティが付属しています。このユーティリティは指定したファイルの MD5 ハッシュ値を含むファイルを生成します。

1. コマンドプロンプトウィンドウを開きます。
2. [スタート] - [ファイル名を指定して実行] - cmd と入力して [Enter] キーを押します。
3. checksum.exe ファイルが存在するディレクトリに移動します。デフォルトでは C:\Program Files (x86)\Symantec\Symantec Endpoint Protection (64 ビット OS の場合) です。
4. (デフォルトパスの場合) cd "C:\Program Files (x86)\Symantec\Symantec Endpoint Protection" と入力します。
5. 次のコマンドを入力してください: checksum.exe <出力ファイル> <入力ファイル>
   <出力ファイル> は指定されたファイルのチェックサムを含むテキストファイルの名前です。出力ファイルはテキストファイル (例：outputfile.txt) です。
   <入力ファイル> はハッシュ値を生成したいファイルの正確なパスを記載します。
6. 使用する構文の例: checksum.exe C:\checksum.txt "C:\Program Files\sample.exe"
   この例では、コマンドは C:\checksum.txt というファイルを作成します。このファイルには、指定されたファイル sample.exe のチェックサムが含まれています。

解決方法 2

Microsoft 社は File Checksum Integrity Verifier と呼ばれる無料のユーティリティを提供しています。
このユーティリティーについては マイクロソフト社の記事 で詳しく説明されています。

解決方法 3

Windows PowerShell の Get-FileHash コマンドを使用します。

解決方法 4

SlavaSoft は HashCalc というユーティリティを公開しており、http://www.slavasoft.com/hashcalc/ から自由にダウンロードすることができます。

1. HashCalc ソフトウェアをダウンロードしてインストールします。
2. [すべてのプログラム] メニューから HashCalc ソフトウェアを実行します。
3. 上部の [Data Format] のドロップダウンメニューで [File] を選択します。
4. [Data] フィールドで [...] ボタンをクリックします。
5. 疑わしい実行ファイルに移動し [開く] をクリックします。
6. [MD5] のチェックボックスにチェックが入っていることを確認します。
7. 下部の [Calculate] ボタンをクリックします。

注: MD5 ハッシュを生成するために使用されるツールの一部は 32 ビットアプリケーションであり、64 ビットオペレーティングシステム上の Windows ファイルシステムのリダイレクトのために、いくつかの予期しない動作が発生します。

あるアプリケーション (notepad.exe など) が C:\Windows\SysWOW64 と C:\Windows\System32 の 2 つのフォルダに存在する場合、両方のファイルのハッシュ値が異なりますので、両方のハッシュ値をポリシーに追加することをお勧めします。

a4f6df0e33e644e802c8798ed94d80ea C:\Windows\SysWOW64\notepad.exe
b32189bdff6e577a92baa61ad49264e6 C:\Windows\System32\notepad.exe

MD5 ハッシュツールによっては C:\Windows\SysWOW64\ のファイルのハッシュを要求しても、C:\Windows\System32\ のファイルのハッシュを返す場合があります。

Symantec 社の Checksum.exe ツールは、要求されたファイルのパスに合致したハッシュ値を生成・提供します。 

C:\Windows\SysWOW64\notepad.exe のハッシュを要求したら C:\Windows\SysWOW64\notepad.exe のハッシュが返されます。C:\Windows\System32\notepad.exe のハッシュを要求したら C:\Windows\System32\notepad.exe のハッシュが返されます。

ハッシュ値の生成には Symantec 社のチェックサムツールの使用をお勧めします。

ポリシーの設定

MD5 ハッシュが判明したら、その特定のファイルがクライアント上で起動して感染することを防ぐために、アプリケーションとデバイス制御ポリシーを設定します。以下は特定の脅威をブロックするための新しいアプリケーションとデバイス制御ポリシーを作成し、クライアントに適用する手順になります。

1. Symantec Endpoint Protecion Manager (SEPM) コンソールにログインします。
2. [ポリシー] タブをクリックします。
3. [アプリケーションとデバイス制御] をクリックします。
4. [タスク] の下で [アプリケーションとデバイス制御ポリシーの追加] をクリックします。
5. 左上の [アプリケーション制御] をクリックします。
6. [追加] ボタンをクリックします。
7. [このルールを次のプロセスに適用する] の [追加] ボタンをクリックします。
8. [照合するプロセス名] の欄に * (ワイルドカード) を入力します。
9. [OK] をクリックします。
10. 左下にある [追加] ボタンをクリックします。
11. [条件の追加］を選択します。
12. [プロセス起動の試み] を選択します。
13. 右側の [次のプロセスに適用する] の横にある [追加] ボタンをクリックします。
14. 右下の [オプション >>] ボタンをクリックします。
15. [ファイルフィンガープリント を照合する] のラジオボタンを選択します。
16. フィンガープリントの欄に MD5 ハッシュをコピーします。
17. [次の引数を伴うプロセスのみを照合する] にチェックを入れ、ボックス内に * を追加して [正確に一致] を選択します。
18. [OK] をクリックします。
19. [OK] をクリックします。
20. [はい] をクリックします。
21. ポリシーを適用するグループにチェックを入れます。
22. [割り当て] ボタンをクリックします。
23. [はい] をクリックしてポリシーを適用します。

Symantec's Connect フォーラム: Block Software By Fingerprint

[英語文書] How to use Application and Device Control to limit the spread of a threat.