Symantec Endpoint Protection (SEP) の現在サポートされるバージョンを使用していて最新のウイルス定義を更新している。他社製のウイルス対策プログラムはウイルスを検知するが、SEP では検知しない。なぜなのか理由が知りたい。

なぜ検出されなかったのか

よくあり得る状況として、最新のビルドとウイルス定義がインストールされていても、ネットワーク内に新たな検知されない脅威が存在することが挙げられます。ウイルス作成者は既知の脅威情報を基として、あらゆるウイルス対策プログラムでの定義シグネチャに一致しないようそのコードを操作します。現在の推定 (2019 年) では、毎日 100 万個の新しいマルウェアの亜種が作成されていると言われています。新しいマルウェアの絶え間ない出現は、今日の脅威の状況の真理です。

これは SEP のオプションであるプロアクティブ脅威防止 (SONAR) のような高度なヒューリスティック検知によって多くの場合制限することができます。脅威のトラフィックは、SEP の侵入防止シグネチャかファイアウォールコンポーネント (ネットワーク脅威防止) によって侵入を遮断できる場合があります。 SEP 12.1 では、インサイト技術がウイルス定義ファイルを必要とせずに未知のファイルをブロックすることができ、SEP 14 では 高度な機械学習 が導入されました。今日の脅威に対する SEP の効果を大幅に高めるには、SEP の従来のシグネチャベースのウイルス対策コンポーネントだけに頼るのではなく、これらのオプションのコンポーネントを導入して有効にしておくことが重要です。

SEP が検出を見落としたもう一つの可能性は、特定のシステムのウイルス対策が改ざんされていたり、オフになっている、もしくは単に定義が更新されていない可能性があります。現在、認定されたウイルス定義は 1 日に最大 3 回リリースされています。もし、コンピュータが最新でないことがわかったら、できるだけ早くアップデートし (アウトブレイク中であれば ラピッドリリース定義 で)、完全スキャンを実行する必要があります。

また、コンピュータのセキュリティベンダーによって、どのようなファイルや動作を悪質または疑わしいと見なすかの基準が異なることに注意してください。 例えばシマンテックは、それ自体が有害なファイルのみを検出し、修復を行います。脅威の残骸 (Threat Artifact)、自動実行ファイルおよび類似のものは、一様に検出されるわけではありません。これは設計によるものです。(詳細については 感染に関連する AT、INF、INI、レジストリキーを Endpoint Protection が削除しない を参照してください)。また、潜在的に迷惑なアプリケーションやプログラム (Potentially Unwanted Programs (PUP)、Potentially Unwanted Applications (PUA)) の検出基準はベンダーによって異なるため、All About Grayware の記事も参照してください。

次にすべきことは

ウイルス対策メーカーの最初の防御は、できる限りの疑わしいファイルの提出と収集を行うことです。検知されない脅威に遭遇した場合は、その影響を最小限に抑えリカバリを迅速にするためのステップがあります。既知と未知の脅威とその亜種のファイルを提出していただければその分析サービスを提供しております。これらファイルの提出を基に脅威を検知、駆除する新しい定義ファイルの作成をシマンテックが行います。公認定義ファイルが利用可能になる前に問題解決をしないといけない場合は、感染したコンピュータまたはネットワークに手動で Rapid Release 定義を適用することができます。SymSubmit での提出プロセスの詳細については シマンテックセキュリティレスポンスに疑わしいファイルを提出する を参照してください。

一部のお客様は提出が終了すると Scribe レポート (自動生成された技術説明) を受け取ることができます。これは、脅威がさらなる脅威をダウンロードしたり、第三者に連絡したりすることを防ぐためのファイアウォールルールを作成するのに十分な情報を提供することができます。また、脅威の一意の MD5 ハッシュ値を使用して、SEP のアプリケーションとデバイス制御コンポーネントを使用してプロセスの実行をブロックすることもでき、これにより脅威の拡散を防ぐことができるかもしれません。(アプリケーションとデバイス制御を使用して脅威の拡散を制限する を参照してください)。プロセスのブロックの詳細については アプリケーション制御、システムロックダウン、デバイス制御について を参照してください。

Symantec Endpoint Protection は、何百万もの既知の脅威を検出して除去します。ウイルス感染をトラブルシューティングするためのリソースとして以下を提供します。

• 脅威の識別と不審で検知されないファイルの提出
• 感染したコンピュータの識別
• 感染したコンピュータの検疫
• ファイル提出に基づく Rapid Release 定義を用いた感染したコンピュータのクリーニング
• 感染ベクトルの特定と再発防止

これらの手順は ネットワーク上のウイルス駆除とトラブルシューティング にまとめられています。

その他のトラブルシューティングの手順や情報については SymDiag の脅威分析スキャンについて を参照してください。

重要な注意点として、多くの脅威は既知の脆弱性を悪用することで機能します。この脆弱なソフトウェアには、オペレーティングシステムやその上で動作するコンポーネント (インターネットブラウザ、電子メールソフト、その他のプログラムなど) が含まれます。これらの脅威に対抗するためには、ベンダーのソフトウェアパッチが利用可能になり次第、インストールされたアプリケーションと OS に適用することが非常に重要です。SEP を使用して組織を保護する方法に関するその他の推奨事項は Symantec Endpoint Protection のベストプラクティス を参照してください。

[英語文書] Scanning a file with a competitor's antivirus program detects a virus, but scanning with Endpoint Protection does not