目次

はじめに
基本的な対処
Office文書ファイルで、過検出が頻発している場合
Office文書ファイル以外で、過検出が頻発している場合
上述の方法で対処や改善が難しい場合

はじめに

本FAQは、特定のエンジン(HIPSなど)やアプリケーション(Excelなど)にて、過検出が頻発して業務に影響が出ている場合の、基本的な対処方法を記載します。
発生している状況やご利用の環境などに応じて、ご検討ください。

基本的な対処

対処１：基本的な対処

まずは基本的な対処として、例外リストに関連フォルダーやファイルを登録することをご検討ください。
例外リストにはワイルドカードを指定することも可能です。詳細については、「FAQ：例外リストの作成方法を教えてください」もご参照ください。

また、過検出の対応にかかる作業(問い合わせや送付物の準備など)を自動化したい場合や、工数を削減したい場合には、「検体自動判定システム／過検出判定システム」および「クラウド連携」の利用を推奨します。詳細については、以下のFAQをご参照ください。

• FAQ：検体自動判定システム／過検出判定システムについて教えてください
• FAQ：クラウド連携について教えてください
• FAQ：検体自動判定システム／過検出判定システムとクラウド連携の違い

なお、その他の過検出に関するよくあるお問い合わせについては、「FAQ：例外リストとその関連トラブル（過検出、遅延、競合など）に関するよくあるお問い合わせ」もご参照ください。

対処２：最新バージョンへのアップデート

検出精度の向上（既知の過検出の抑制含む）も随時行っておりますため、最新バージョンへのアップデートもご検討ください。
その場合、全端末を一斉にアップデートするのではなく、まずは何台かに絞ってアップデートしていただき、改善を確認してから、段階的にアップデートしていただく方法を推奨します。

なお、もし、上記で対処が難しいような場合には、以降の対処をご検討ください。

Office文書ファイルで、過検出が頻発している場合

上述の「基本的な対処」で対処が難しいような場合について、対処方法を記載します。

前提：Office文書ファイルの仕様とハッシュ例外について

Microsoft社のOffice製品（ExcelやWordなど）の仕様により、Office文書ファイルは頻繁にハッシュ値が変わってしまう場合があります。

そのため、同じファイルパスや同じマクロコードを保有しているファイルでも、頻繁にハッシュ値が変わってしまい、ハッシュ例外が機能しない場合があります。

この点については、「FAQ：例外リストに登録しても検知されてしまう（ハッシュ例外が機能しないケース）」の「Office製品の仕様によりハッシュ値が変更された場合」にも記載されていますため、併せてご参照ください。

前提：ハッシュ例外と「検体自動判定システム／過検出判定システム」について

「検体自動判定システム／過検出判定システム」を利用して、過検出判定を自動化されている場合、ハッシュ値をベースとした例外（過検出抑制）となります。

そのため、上述のOffice製品（ExcelやWordなど）の仕様により、ハッシュ値をベースとした本システムは効果が弱まる可能性がございます。

本システムの詳細については、「FAQ：検体自動判定システム／過検出判定システムについて教えてください」も併せてご参照ください。

対処方法について

以降、弊社側で推奨する順番で、対処方法を記載します。

対処１：業務で利用するフォルダーパスやファイル名を固定化する

業務で利用するフォルダーパスやファイル名を固定化する運用をご検討いただき、そのパスを例外リストに追加します。

例）C:\FFRI-Security\Tech-Support-Departments\Test-ABCDE-Tools\*.xlsm

可能な限り、他社製品などで利用されないような、独自のパスにすることを推奨します。

対処２：Office文書ファイル全体を例外リストに追加する

例えば、「*.xls」や「*.xlsm」など、Excelファイル全体を例外リストに追加していただければ、全てのエンジンの全ての検出機能でExcelファイル全体の過検出を抑制できます。

対処３：特定の機能を無効にする

機能によっては、AMC管理コンソールのポリシーなどから、機能自体を無効にすることが可能です。

例えば、「yarai v3.5.0以降で搭載されたディープマクロ分析機能での過検出を抑制したい」場合には、AMC管理コンソールのポリシーの以下の項目を変更することにより、ディープマクロ分析機能を無効にすることが可能です。例外リストが完成するまでの暫定回避策としてもご検討ください。

• Static分析エンジン ： オンデマンドスキャンでのディープマクロ分析機能を有効にする
• HIPSエンジン ： ディープマクロ分析機能

Office文書ファイル以外で、過検出が頻発している場合

上述の「基本的な対処」で対処が難しいような場合について、弊社側で推奨する順番で、対処方法を記載します。

対処１：特定の機能を無効にする

機能によっては、AMC管理コンソールのポリシーなどから、機能自体を無効にすることが可能です。

例えば、特定のバージョンにアップデートしてから、特定の機能で過検出が発生し始めた場合に効果がある可能性があります。例外リストが完成するまでの暫定回避策としてもご検討ください。各機能の詳細やポリシーなどについては、製品付属のマニュアルやリリースノートをご参照ください。

対処２：ログ出力モードにする

AMCで管理されていれば、AMC管理コンソールのポリシーから、特定のエンジンのみブロックモードからログ出力モードに変更することが可能です。
これにより、特定のエンジンおよびクライアントのみ、ブロックを発生させずに検知ログだけを確認することが可能です。

上述の方法で対処や改善が難しい場合

上述の方法で対処や改善が難しい場合には、以下の情報を添えて、弊社までお問い合わせをお願いできますでしょうか。

• ご利用のAMCおよびyaraiの正確なバージョン情報
• 本FAQのどの方法まで行われたか、具体的な情報のご提供をお願いします。
• 過検出が発生している検体／検出ログをご提供ください。検体収集機能で自動収集されたzipファイルで問題ありません。もし頻発しているような場合には、サンプルとして複数のご提供をお願いします。
• ※検体／検出ログの取得方法が不明な場合は、製品マニュアルまたは「FAQ：過検出か否かの判定に必要な情報について」をご参照ください。
• 発生状況やパターンや類似性（※特定のアプリケーションで発生している、特定の拡張子で発生しているなど）
• 発生台数（※おおよそ何台中の何台程度で問題が発生しているか）
• 発生契機（※yaraiを特定のバージョンにアップデートしてからなど）
• 発生頻度（※おおよそどの程度の頻度で問題が発生しているか）

問題が発生している検体、検出状況、ご利用の環境などによっては、ピンポイントで過検出を抑制する特殊な例外方法（過検出抑制パッチファイルなど）をご提供させていただくことが可能な場合があります。

例えば、Office文書ファイルで過検出が頻発している場合、検出状況によっては、Office文書ファイルのマクロコードから弊社独自のハッシュ値（※以降、「マクロハッシュ値」と表記）を算出できる場合があります。
上述のようにOffice製品側の仕様により、ファイル自体のハッシュ値が頻繁に変わってしまう場合でも、マクロコードが同一であればマクロハッシュ値は変わらない場合があります。

その場合、このマクロハッシュ値を利用した特殊な例外方法（過検出抑制パッチファイルなど）を別途ご案内できる可能性があり、同じマクロコードを保有した複数のファイルを一括で過検出抑制できる可能性があります。しかしながら、問題が発生している検体、検出状況、ご利用の環境などに大きく依存することから、上記のような情報が必要となります。