FAQ

例外リストの作成方法を教えてください

最終更新日:2022/04/27

目次

はじめに
例外の指定方法
 例外リストのフォルダ指定の際の注意事項
 ドライブレターでの指定方法
 ネットワークパスでの指定方法
 ハッシュ値での指定方法(AMC/EMC)
「脆弱性攻撃を防御しない」について
「出力ファイルを信頼する」について
AMCにおける例外リストの登録方法
EMCにおける例外リストの登録方法
yaraiクライアント画面における例外リストの登録方法
参考情報

はじめに

例外リストとは、yaraiの監視対象外とするアプリケーションやファイルのリストを指します。
ファイルやフォルダを例外リストに登録することで、以下の効果を期待できます。

  • 配布元が確認できて実行しても問題ないアプリケーションや、自作のアプリケーション等がyaraiによって検知されている場合に、検知を抑制する。
  • yaraiと他社製セキュリティ対策製品、その他アプリケーションとの競合を回避する。
  • 特定の環境下で、パフォーマンスが向上する。

例外の指定方法

例外リストに登録する際の、例外とするファイル・フォルダの指定方法は以下の通りです。

‼ 重要

広範囲に合致するようなワイルドカードを指定された場合、yaraiの防御能力が低下する可能性がございますため、ご注意ください。
なお、ワイルドカード(*)は0文字以上の任意の文字列を示します。

⚠ 注意

例外リストにおいて、例外とするファイル・フォルダ名に環境変数は使用できません。

⚠ 注意

例外リストはユーザー毎に設定する必要はありません。
また、設定の際に管理者権限は必要なく、設定内容は同一マシン上の他のユーザーの環境に対しても反映されます。

※yarai v3.4.6/yarai v2.14.2以降では、ご利用の環境と操作によっては、管理者権限が必要となります。詳細については、リリースノートまたは以下のFAQを参照してください。

⚠ 注意

例外リストにおいて、大文字・小文字は区別していません。


例外リストのフォルダ指定の際の注意事項

‼ 重要

フォルダを例外に指定した場合、指定されたフォルダに含まれるすべてのファイル(サブフォルダ含む)が例外として扱われます。これは、ワイルドカードがフォルダに合致した場合も同様です。

なお、フォルダ指定の方法は、以下の例のように、いくつかのパターンがあります。


■ ドライブレター(ローカルフォルダ)の例1

  • C:\Sample\
  • C:\Sample\*
上記パターンは、いずれもC:\Sample\」フォルダに含まれるすべてのファイル(サブフォルダ含む)が、例外となります。


■ ドライブレター(ローカルフォルダ)の例2

  • C:\Sample*
上記パターンは、ワイルドカードに合致したファイルと、ワイルドカードに合致したフォルダに含まれるすべてのファイル(サブフォルダ含む)が、例外となります。


■ ネットワークパス(ファイルサーバー上のフォルダ)の例1

  • \\TestSrv\Sample\
  • \\TestSrv\Sample\*
上記パターンは、いずれも\\TestSrv\Sample\」フォルダに含まれるすべてのファイル(サブフォルダ含む)が、例外となります。


■ ネットワークパス(ファイルサーバー上のフォルダ)の例2

  • \\TestSrv\Sample*
上記パターンは、ワイルドカードに合致したファイルと、ワイルドカードに合致したフォルダに含まれるすべてのファイル(サブフォルダ含む)が、例外となります。


ドライブレターでの指定方法

以下のように指定ができます。

  • 絶対パスでの指定方法
    • C:\Sample\Sample.exe
  • ワイルドカードを使用した指定方法
    • C:\Sample\* ("C:\Sample"配下のすべてのファイル(サブフォルダ含む)を例外として指定する場合)
    • C:\Sample\*.exe ("C:\Sample"配下のすべての拡張子exeのファイル(サブフォルダ含む)を例外として指定する場合)
    • *:\Sample\* (すべてのドライブの指定したフォルダ配下のすべてのファイル(サブフォルダ含む)を例外として指定する場合)
    • *\Sample\* (すべての"Sample"という名前のフォルダ配下のすべてのファイル(サブフォルダ含む)を例外として指定する場合)

以下の場合、例外に指定できません。

  • パスに不正な文字が含まれる(Windowsのパスで使用できない文字が含まれている)場合
    • C:\Sample:::\Sample.exe
  • ドライブレターが不正な場合。
    • AA:\Sample\Sample.exe

ネットワークパスでの指定方法

  • 絶対パスでの指定方法
    • \\TestSrv\Sample\Sample.exe
  • ワイルドカードを使用した指定方法
    • \\TestSrv\*\Sample.exe (ホスト名"\\TestSrv"配下のすべての"Sample.exe"(サブフォルダ含む)を例外として指定する場合)
    • \\TestSrv\Sample\*.exe (ホスト名"\\TestSrv"配下の"Sample"フォルダ内のすべての拡張子exeのファイル(サブフォルダ含む)を例外として指定する場合)
    • \\TestSrv\* (ホスト名"\\TestSrv"配下のすべてのファイル(サブフォルダ含む)を例外として指定する場合)
    • \\Test*\Sample\Sample.exe(ホスト名にワイルドカードを指定し、"Sample\Sample.exe"を例外として指定する場合)
    • \\*\*.lnk(すべてのホスト上のすべての拡張子lnkのショートカットファイル(サブフォルダ含む)を例外として指定する場合)

以下の場合、例外に指定できません。

  • ホスト名のみ指定されている場合
    • \\TestSrv\

ハッシュ値での指定方法(AMC/EMC)

✔ 情報

ハッシュ値での例外指定は、AMC 3.1.0以上、EMC 2.9.0以上で利用可能です。

‼ 重要

ハッシュ値で例外指定する場合、ご利用の環境や検知状況によって、例外が機能しない場合があります。詳細については、以下のFAQを参照してください。

⚠ 注意

負荷軽減やパフォーマンス改善を目的としている場合は、ハッシュ値ではなく、ファイルパスまたはフォルダパスで指定してください。

※ハッシュ値での例外リストについては、ハッシュ値計算によるパフォーマンスへの影響を考慮し、検知の直前でハッシュ値を計算し、例外リストとの照合を行います。そのため、負荷軽減やパフォーマンス観点での効果はありません。


以下のように、ハッシュ値(SHA256)で例外とするファイル・アプリケーションを指定できます。

  • HASH:E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855

以下の場合、例外に指定できません。

  • 先頭に HASH: が付与されていない(ハッシュ値のみの)場合
    • E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855

「脆弱性攻撃を防御しない」について

脆弱性攻撃防御機能(ZDPエンジン)の影響により過検知してしまうアプリケーションや、誤動作を引き起こすアプリケーションに対して設定することで、症状が改善される場合があります。

‼ 重要

遅延、クラッシュ、異常終了、BSODなどが生じている場合は、事象の切り分けとして必ず有効にすることをお試しください。
また、参考FAQもご確認ください。

✔ 情報

本設定項目の各製品内における表記は、次のとおりです。

  • yarai:「このプログラムの脆弱性を防御しない」
  • AMC:「脆弱性を防御」
  • EMC:「脆弱性攻撃を防御しない」
⚠ 注意

  • 脆弱性が悪用されるリスクの高いアプリケーション(Microsoft社のOffice製品など)に対して設定することは推奨していません。
  • ハッシュ値での例外登録では、こちらのオプションは指定できません。


「出力ファイルを信頼する」について

yaraiのリアムタイムスキャンの監視対象から除外することで、大量のファイル出力を行うプログラム(インストーラー、開発環境、データベース等)のパフォーマンス向上が期待できます。

本オプションを有効にして例外登録した場合、大きく分けて、以下の2種類が例外扱いとなります。

1.登録したファイルパスまたはフォルダパス配下のファイル自体の監視と検出
2.1のファイルが出力したファイルの監視と検出

本オプションを有効にしない場合、上記の2は引き続き監視対象となります。そのため、大量のファイル出力を行うプログラムのパフォーマンス向上が期待できます。

‼ 重要

遅延、クラッシュ、異常終了、BSODなどが生じている場合は、事象の切り分けとして必ず有効にすることをお試しください。
また、参考FAQもご確認ください。

✔ 情報

本設定項目の各製品内における表記は、次のとおりです。

  • yarai:「このプログラムが出力するファイルを信頼する」
  • AMC:「出力するファイルを信頼」
  • EMC:「出力ファイルを信頼する」
⚠ 注意

  • プログラムの動作や仕様に大きく依存するため、効果が無いものもあります。例えば、ExcelファイルなどのOfficeファイルやスクリプトファイルには効果がありません。
  • ハッシュ値での例外登録では、こちらのオプションは指定できません。


AMCにおける例外リストの登録方法

image

詳細はカスタマーサイトにございます「FFRI AMC Manual」の「FFRI AMC オペレーションマニュアル」をご参照ください。

EMCにおける例外リストの登録方法

image

詳細はカスタマーサイトにございます「FFRI Enterprise Management Console Manual」の「FFRI Enterprise Management Console Manual 運用マニュアル」をご参照ください。

yaraiクライアント画面における例外リストの登録方法

image

⚠ 注意

yaraiクライアント画面からの例外リストの追加・変更は、以下の場合にのみ可能です。

  • 管理されたクライアントの場合、AMC/EMCから例外リストの変更を許可するポリシーを配布している場合
  • 独立したクライアントの場合

詳細はカスタマーサイトにございます「FFRI yarai manual」の「yarai ユーザーマニュアル」をご参照ください。

参考情報

この内容は参考になりましたか?
  • このフォームにお寄せいただいたご意見への回答は行っておりません(回答が必要な場合は販売店までお問い合わせください)
  • お名前、ご連絡先等の個人情報は入力しないようお願いいたします
  • 250文字以内でご記入をお願いいたします
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
pagetop