FAQ

yaraiでマルウェア(ウイルス)や脆弱性攻撃を検出した場合の一般的な対処方法

最終更新日:2024/10/30

目次

はじめに
yaraiによる防御と検出エンジンの概要について
Defenderの検出について
yaraiの検出時の動作について
 ブロックモード
 ログ出力モード
 判別方法
yaraiでフルスキャンを行う頻度や契機について
対処の流れ
 ネットワークからの隔離
 検出エンジンの確認
 検出理由の確認
 対処ルート1:通常のマルウェア検出
 対処ルート2:ZDPエンジンによる脆弱性攻撃の検出
 対処ルート3:HIPSエンジンによるファイルレスマルウェアの検出
 対処ルート4:Defenderの検出
 事後対応(インシデント対応/インシデントレスポンス)

はじめに

本FAQでは、yaraiでマルウェア(ウイルス)や脆弱性攻撃を検出した場合の一般的な対処方法について記載します。

※本FAQの記載は、あくまで一般的な対処方法(参考情報)のご案内となります。ご利用の環境や設定、検出状況や検出されたマルウェアなどによっては、別の対処や追加の対処が必要となる場合があります。

✔ 情報

本FAQに記載のような運用を支援するマネージド・サービスのご用意もあります。
設定チューニングやアップデートなどの通常業務の運用支援の他、アラートの監視やレポート作成、インシデント発生時の初動対応支援など、専門人材がいない組織においても適切な製品の運用とセキュリティ体制構築が可能となるようサポートします。
詳細については、弊社サービスページ「FFRIセキュリティ マネージド・サービス」をご参照ください。

‼️ 重要

  • yarai/AMC v3.6.1にて、旧バージョンで「yaraiログ」と記載されていたログは「クライアントログ」へ名称変更されました。
  • 上記のことから、yarai/AMC v3.6.1以降をご利用の場合は、本FAQの「yaraiログ」という記載は「クライアントログ」に読み替えてください。

yaraiによる防御と検出エンジンの概要について

yaraiによる防御と検出エンジンの概要について、以下に代表的な機能を記載させていただきます。







‼ 重要

上記は代表的な機能のみ抜粋記載しており、上記以外にも多数の機能や特徴があります。詳細については、「FAQ:yaraiによる防御とEDRについて」をご参照ください。


※以降、「yarai」は「エンドポイント/端末を防御するクライアント」、「AMC」は「yaraiの管理コンソール」と同義とします。

Defenderの検出について

AMC/yaraiには、Microsoft社のOS標準のウイルス対策ソフトとなる「Microsoft Defender」との連携機能が存在します。



✔ 情報

yaraiと同居する他社ウイルス対策ソフトがMicrosoft Defenderであり、かつ連携機能をご利用の場合には、AMC/yaraiの画面に検出時のログを表示したり、通知メールを送信するなど、様々な連携をすることが可能です。
詳細については、「FAQ:Windows Defender/Microsoft Defender連携について教えてください(Defenderの管理)」をご参照ください。


※以降、Microsoft Defender(またはWindows Defender)については、「Defender」と表記します。

yaraiの検出時の動作について

yaraiによる検出時の動作については、「ブロックモード」と「ログ出力モード(非ブロック=監視モード)」の2種類があります。



※Defenderの検出の場合、検出時の動作(検疫など)はDefender側で自動的に行われます。そのため、「ブロックモード」や「ログ出力モード」という設定はありません。

ブロックモード

「ブロックモード」の場合は、yaraiで検出が起きた場合、プロセス/アプリケーション/プログラムの起動や実行=悪意の有る動作がブロックされます。そのため、弊社としては、より安全な「ブロックモード」のご利用を推奨しています。

ログ出力モード

「ログ出力モード」の場合は、ログ出力は行われますが、上述「ブロックモード」のようなブロックは行われません。そのため、主に導入時の評価や監視に使用され、IDSモードやIDS版と呼ばれることもあります。

判別方法

ご利用の環境で何れのモードが利用されているかは、以下の何れかの方法でご確認ください。

【推奨】AMC管理コンソールのポリシー画面から確認

AMC管理コンソールのポリシー画面より、各エンジンの「検知時の動作」をご確認ください。

HIPSエンジンでの検出時のアクションから確認(※独立したクライアントの場合)

独立したクライアントの場合は、yarai画面よりHIPSエンジン用のテストマルウェアなどでご確認ください。アクションが「処理を許可しました」となっている場合は、ログ出力モードとなります。



※独立したクライアントのログ出力モードの設定方法については、ご購入いただいた販売店までお問い合わせください。

yaraiでフルスキャンを行う頻度や契機について

yaraiはパターンファイルを用いたファイルスキャンは行わないため、インストール後にフルスキャン(全ドライブの全ファイルのスキャン)を頻繁に行う必要はありません。新しいファイルは都度リアルタイムにスキャンされ、「ブロックモード」の場合はリアルタイムにブロックされます。

そのため、フルスキャンを行う頻度や契機については、以下を推奨させていただきます。

  • yaraiのインストール時
  • yaraiのアップデート時(検出エンジンがアップデートされるため)

対処の流れ

ネットワークからの隔離

もし可能であれば、念のため、マルウェア検出したマシンをネットワークから隔離していただくことを推奨します。

検出エンジンの確認

AMCやyaraiの画面などより、以下の何れであるかをご確認ください。

  • Static分析エンジン
  • Sandboxエンジン
  • HIPSエンジン
  • 機械学習エンジン
  • ZDPエンジン(脆弱性攻撃を検出)
  • Defender

■ AMC管理コンソールのyaraiログ画面での検出エンジンや検出理由の表示例





■ yarai画面での検出エンジンや検出理由の表示例



■ Defenderの検出の表示例



検出理由の確認

AMCやyaraiの画面などより、検出理由をご確認ください。画面例については、上述の検出エンジンと同様となります。

検出理由は多数ありますが、例えば、以下のようなものがあります。

  • ファイルレスマルウェアの挙動を検出しました。
  • 不審なマクロの構造を検出しました。
  • マルウェア特有のセクションを検出しました。
  • パッカーを検出しました。悪意あるコードが隠蔽されている可能性があります。
  • 不審な命令を実行しようとしています。
  • 機械学習による判定の結果、この実行ファイルはマルウェアである可能性が疑われます。
  • 不審なファイルが検出されました。(※Defenderによる検出の場合はマルウェア名称が記載される場合があります)

対処ルート1:通常のマルウェア検出

判別方法

以下のように、後述の何れにも該当しない検出の場合は、本ルートとなります。

対処方法

⚠ 注意

以下、全てのモードに共通の事項です。

  • 過検出の疑いが無い場合は、検出したマルウェアは「駆除」することを推奨します。駆除機能の詳細については、各種マニュアルをご参照ください。
  • 検出エンジンの特定機能は、製品仕様上、正規のアプリケーションを検出する場合があります。「駆除」を行う前に、検出理由と併せて、ファイルパスやアプリケーション名などのご確認をお願いします。
  • 万が一、過検出が疑われる場合(例:正規のメーカーから購入した製品や、自社内で開発した業務アプリケーショなど)は、駆除する前に、過検出判定や例外リスト登録などをご検討ください。詳細については「FAQ:例外リストとその関連トラブル(過検出、遅延、競合など)に関するよくあるお問い合わせ」や「FAQ:過検出か否かの判定に必要な情報について」をご参照ください。
    ※「検体自動判定システム/過検出判定システム」および「クラウド連携」をご利用いただき、過検出の対応にかかる作業(問い合わせや送付物の準備など)は自動化していただくことを推奨します。詳細については上述FAQをご参照ください。
  • シグネチャー型(パターンマッチング型)の他社ウイルス対策ソフトと同居している場合には、念のため、「シグネチャー(パターンファイル)のアップデート」と「フルスキャンの実行」も推奨させていただきます。後述「対処ルート4:Defenderの検出」も併せてご参照ください。


  • ブロックモードをご利用の場合
    リアルタイムにブロックが行われるため、必須となるような追加の対処はありません。上述の通り、過検出の疑いが無い場合は、「駆除」することを推奨します。

  • ログ出力モードをご利用の場合
    ご利用の環境/運用や同居している他社ウイルス対策ソフトに依存しますが、ブロックが行われないため、必要に応じてyaraiや同居している他社ウイルス対策ソフトでのフルスキャンをご検討ください。上述の通り、過検出の疑いが無い場合は、「駆除」することを推奨します。

対処ルート2:ZDPエンジンによる脆弱性攻撃の検出

判別方法

本ルートに該当するかどうかは、以下の何れかの方法でご確認ください。

■ 【推奨】ZDPエンジンで検出されており、かつAMC管理コンソールの「マルウェア情報」画面の「駆除状況」が「駆除不要」と表示されている。(3.6.1以降のバージョンでは、「対象外(ZDPエンジンによる検出)」と表示されている。)



■ yarai画面にてZDPエンジン(脆弱性攻撃を検出)で検出されている。

対処方法

⚠ 注意

以下、全てのモードに共通の事項です。

  • ZDPエンジンは、他のエンジンとは異なり、脆弱性攻撃から正規のアプリケーション(Microsoft社のOffice製品やブラウザーなど)を防御するエンジンとなり、正規のアプリケーションを監視して、攻撃と考えられる異常な状態になった場合に検出します。
    そのため、検出パスとして表示されるファイルは、脆弱性攻撃を受けた正規のアプリケーションであり、検体(マルウェア本体)ではありません。万が一、過検出だった場合でも、例外リストへの登録はお控えください。
  • 「駆除」は不要となります。
  • 検出状況に大きく依存しますが、アプリケーションが一時的に不安定になるなど、一時的な原因により過検出が発生する可能性があります。
  • 万が一、過検出が疑われる場合(例:安全な文書ファイルを開いていた、安全な社内のWebサイトを開いていたなど)は、過検出判定をご検討ください。詳細については「FAQ:過検出か否かの判定に必要な情報について」をご参照ください。
    ※特に「【注意】ZDPエンジンで脆弱性攻撃を検出した場合」のご確認をお願いします。
  • シグネチャー型(パターンマッチング型)の他社ウイルス対策ソフトと同居している場合には、念のため、「シグネチャー(パターンファイル)のアップデート」と「フルスキャンの実行」も推奨させていただきます。後述「対処ルート4:Defenderの検出」も併せてご参照ください。


  • ブロックモードをご利用の場合
    リアルタイムにブロックが行われるため、必須となるような追加の対処はありません。

  • ログ出力モードをご利用の場合
    ご利用の環境/運用や同居している他社ウイルス対策ソフトに依存しますが、ブロックが行われないため、必要に応じてyaraiや同居している他社ウイルス対策ソフトでのフルスキャンをご検討ください。

対処ルート3:HIPSエンジンによるファイルレスマルウェアの検出

判別方法

本ルートに該当するかどうかは、以下の何れかの方法でご確認ください。

■ 【推奨】HIPSエンジンで検出されており、かつAMC管理コンソールの「マルウェア情報」画面の「駆除状況」が「既に駆除されている」と表示されている。(3.6.1以降のバージョンでは、「対象外(ファイルレスマルウェアの検出)」と表示されている。)



■ yarai画面にてHIPSエンジンで検出されており、かつ検出理由が「ファイルレスマルウェアの挙動を検出」となっている。



※古いバージョンをご利用の場合、検出理由は「不審な挙動を検知」となっている場合があります。

対処方法

⚠ 注意

以下、全てのモードに共通の事項です。

  • ファイルレスマルウェアとは、ファイルの実体が存在しない攻撃手法となり、一般的に、PowerShellなどの正規のアプリケーションを悪用した攻撃となります。
    そのため、検出パスとして表示されるファイルは、マルウェアに悪用された正規のアプリケーションであり、検体(マルウェア本体)ではありません。万が一、過検出だった場合でも、例外リストへの登録はお控えください。
  • 「駆除」は不要となります。
  • 万が一、過検出が疑われる場合(例:正規のメーカーから購入した製品や、自社内で開発した業務アプリケーショなど)は、過検出判定をご検討ください。詳細については「FAQ:過検出か否かの判定に必要な情報について」をご参照ください。
    ※特に「【注意】ファイルレスマルウェア対策機能で検出した場合」のご確認をお願いします。
  • シグネチャー型(パターンマッチング型)の他社ウイルス対策ソフトと同居している場合には、念のため、「シグネチャー(パターンファイル)のアップデート」と「フルスキャンの実行」も推奨させていただきます。後述「対処ルート4:Defenderの検出」も併せてご参照ください。


  • ブロックモードをご利用の場合
    リアルタイムにブロックが行われるため、必須となるような追加の対処はありません。

  • ログ出力モードをご利用の場合
    ご利用の環境/運用や同居している他社ウイルス対策ソフトに依存しますが、ブロックが行われないため、必要に応じてyaraiや同居している他社ウイルス対策ソフトでのフルスキャンをご検討ください。

対処ルート4:Defenderの検出

判別方法

Defenderの検出の場合には、本ルートに該当します。

対処方法

Defenderの検出の場合、検出時の動作(検疫など)はDefender側で自動的に行われます。他社ウイルス対策ソフトとなりますため、一般的な対処方法とはなりますが、以下を推奨させていただきます。

  • シグネチャー(パターンファイル)のアップデート
    Defenderはシグネチャー型(パターンマッチング型)の他社ウイルス対策ソフトとなります。そのため、最新の脅威に対抗するためには、一般的にシグネチャーを最新版にアップデートする必要があります。
    連携機能をご利用の場合には、管理コンソールから命令配布することが可能です。詳細については、各種マニュアルや「FAQ:Windows Defender/Microsoft Defender連携について教えてください(Defenderの管理)」をご参照ください。

  • フルスキャンの実行
    シグネチャー型(パターンマッチング型)の他社ウイルス対策ソフトの場合、シグネチャーを最新版にアップデートした後に、マシンのフルスキャン(全ドライブの全ファイルのスキャン)の実行が推奨されます。
    連携機能をご利用の場合には、管理コンソールから命令配布することが可能です。詳細については、各種マニュアルや「FAQ:Windows Defender/Microsoft Defender連携について教えてください(Defenderの管理)」をご参照ください。

  • 【注意】過検出判定について
    他社ウイルス対策ソフト(※Microsoft Defender含む)で検出したファイルの過検出の判定は承っておりません。詳細については、「FAQ:過検出か否かの判定に必要な情報について」の「【重要】他社ウイルス対策ソフトで検出した場合」をご参照ください。

※上記は、あくまでDefender含めた他社ウイルス対策ソフトでの一般的な対処方法のご案内となります。Defender側の検出や動作の詳細については、Microsoft社様へお問い合わせください。

事後対応(インシデント対応/インシデントレスポンス)

ここまでが一般的な対処の流れとなりますが、検出状況や検出されたマルウェアなどによっては、追加調査や横展開の確認など、事後対応が必要となる場合があります。弊社AMCおよびyaraiには、それらのサポートを行う機能も搭載されています。

■ 機能例)端末内/組織内に潜む脅威をハンティング



■ 機能例)検出された脅威のアクティビティの可視化




詳細については、「FAQ:yaraiによる防御とEDRについて」をご参照ください。

✔ 情報

事後対応(インシデント対応/インシデントレスポンス)を支援するマネージド・サービスのご用意もあります。
設定チューニングやアップデートなどの通常業務の運用支援の他、アラートの監視やレポート作成、インシデント発生時の初動対応支援など、専門人材がいない組織においても適切な製品の運用とセキュリティ体制構築が可能となるようサポートします。
詳細については、弊社サービスページ「FFRIセキュリティ マネージド・サービス」をご参照ください。



この内容は参考になりましたか?
  • このフォームにお寄せいただいたご意見への回答は行っておりません(回答が必要な場合は販売店までお問い合わせください)
  • お名前、ご連絡先等の個人情報は入力しないようお願いいたします
  • 250文字以内でご記入をお願いいたします
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
pagetop