FAQ

過検出か否かの判定に必要な情報について

最終更新日:2024/10/30

目次

はじめに
前提事項
 【推奨】過検出の対応にかかる作業を自動化したい場合
 【重要】他社ウイルス対策ソフトで検出した場合
過検出か否かの判定に必要な情報
 検体ファイル(以降、「検体」と表記)
 検出ログ
 【注意】ZDPエンジンで脆弱性攻撃を検出した場合
 【注意】ファイルレスマルウェア対策機能で検出した場合
 【参考】検体が不要となる検出の判別方法
検体/検出ログの取得方法
 検体の取得方法
 検出ログの取得方法
【参考】AMCで管理されたクライアントの場合
 AMC管理コンソールのマルウェア情報画面について
 AMC管理コンソールの検体収集機能について
 AMC管理コンソールのマルウェア情報画面の「過検出判定状況」について


はじめに

yaraiはパターンファイルに依存せず、様々なヒューリスティック検出技術(※1)で、既知・未知のマルウェアや脆弱性攻撃をリアルタイムで検出可能とします。

また、様々な他社ウイルス対策ソフト(Microsoft Defenderなど)と同居することも可能(※2)であり、これにより多重防御も実現します。

さらに、クラウド連携機能(※3)を利用することにより、世界中から収集した脅威情報データベースを持つクラウドサーバーと連携して、yaraiの検出精度を高めることが可能になります。

✔ 情報


上記のような検出/防御機能により、yaraiで検出したファイルについて、検出状況によっては過検出か否かの判定を行いたい場合があります。

その場合、後述「【推奨】過検出の対応にかかる作業を自動化したい場合」に記載の「検体自動判定システム/過検出判定システム」をご利用いただく形か、ご購入いただいた販売店を経由して過検出判定依頼を出していただく形となりますが、本FAQでは、その際に必要な情報や注意事項などについて、記載させていただきます。

‼️ 重要

  • yarai/AMC v3.6.1にて、旧バージョンで「yaraiログ」と記載されていたログは「クライアントログ」へ名称変更されました。
  • 上記のことから、yarai/AMC v3.6.1以降をご利用の場合は、本FAQの「yaraiログ」という記載は「クライアントログ」に読み替えてください。


前提事項

【推奨】過検出の対応にかかる作業を自動化したい場合

過検出の対応にかかる作業(問い合わせや送付物の準備など)を自動化したい場合や、工数を削減したい場合には、「検体自動判定システム/過検出判定システム」および「クラウド連携」の利用を推奨します。本FAQに記載の作業の多くを自動化することが可能です。

各機能の詳細については、以下のそれぞれのFAQをご参照ください。


【重要】他社ウイルス対策ソフトで検出した場合

他社ウイルス対策ソフト(※Microsoft Defender含む)で検出したファイルの過検出の判定は承っておりません。他社ウイルス対策ソフトのメーカー様へお問い合わせをお願いします。

‼ 重要

他社ウイルス対策ソフトとしてMicrosoft Defenderをご利用で、かつ弊社製品側のMicrosoft Defender連携機能をご利用の場合も、同様に過検出の判定は承っておりません。

連携機能は、Microsoft Defenderの管理を補助・支援するための機能であり、 Microsoft Defender自体を弊社がサポートするわけでありません。そのため、Microsoft Defender自体の動作や仕様または検出に関するお問い合わせについては、Microsoft社様へお問い合わせください。

※Microsoft Defender側の仕様とも関連して、複数の制限/注意事項があります。そのため、連携機能をご利用いただく場合には、事前に最新版のシステム要件および製品マニュアルをご確認ください。また、併せて「FAQ:Windows Defender/Microsoft Defender連携について教えてください(Defenderの管理)」もご参照ください。



過検出か否かの判定に必要な情報

原則的に、以下の2つの情報が必要となります。取得方法については、別途、後述します。

※後述の通り、検出エンジンや検出機能によっては、何れか1つのみ必要となる場合があります。


検体ファイル(以降、「検体」と表記)

yaraiで検出したファイルそのものが必要です。

※yaraiやAMC管理コンソールや通知メールなどに検出パスとして表示されるファイルの実体です。


検出ログ

yaraiで検出した際の、製品側の詳細な検出ログが必要です。

※検出エンジンや検出パスなどの基本的な情報以外にも、様々な付随情報が必要となるため、弊社指定の方法で取得していただく必要があります。


【注意】ZDPエンジンで脆弱性攻撃を検出した場合

ZDPエンジンは、他のエンジンとは異なり、脆弱性攻撃から正規のアプリケーション(Microsoft社のOffice製品やブラウザーなど)を防御するエンジンとなり、正規のアプリケーションを監視して、攻撃と考えられる異常な状態になった場合に検出します。

そのため、検出パスとして表示されるファイルは、脆弱性攻撃を受けた正規のアプリケーションであり、検体ではありません。例外リストへの登録はお控えください。

検出状況に大きく依存しますが、アプリケーションが一時的に不安定になるなど、一時的な原因により過検出が発生する可能性があります。
もし明確に過検出と考えられる状況が頻発するようであれば、発生している状況に応じて、ピンポイントで過検出を抑制する特殊な例外方法(過検出抑制パッチファイルなど)をご提供させていただきます。

そのため、過検出判定をご希望の場合、検体(検出パスとして表示されるファイル=正規のアプリケーション)は不要となります。検出ログのみをご提供いただけますでしょうか。

※AMC管理コンソールの「検体収集機能」をご利用の場合、上記の理由から検体は収集されませんが、検出ログは収集されます。そのため、自動収集されたzipファイルをそのままご提供いただくことが可能です。

‼ 重要

検体(検出パスとして表示されるファイル=正規のアプリケーション)を、明示的に「脆弱性を防御しない」のオプションを有効にした状態で例外リストにご登録いただくことでも、過検出を抑制することも可能です。

しかしながら、例外リストにご登録いただいた場合、正規のアプリケーションに対する脆弱性攻撃を防御することができなくなるため、特に脆弱性が悪用されやすい正規のアプリケーション(Microsoft社のOffice製品やブラウザーなど)に対して設定することは、弊社としては推奨していません。

例外リストの詳細については、「FAQ:例外リストの作成方法を教えてください」も併せてご参照ください。

⚠ 注意

ZDPエンジンでの検出でも、ご利用のバージョンや検出状況により、例外的に本件に該当せず、検体が存在する場合や、検体が収集される場合もあります。

※2024年10月時点で、ZDPエンジンでの殆どの検出が本件に該当しますが、本件に該当するかどうかの判別方法については、後述「【参考】検体が不要となる検出の判別方法」をご参照ください。


【注意】ファイルレスマルウェア対策機能で検出した場合

ファイルレスマルウェアとは、ファイルの実体が存在しない攻撃手法となり、一般的に、PowerShellなどの正規のアプリケーションを悪用した攻撃となります。

そのため、検出パスとして表示されるファイルは、マルウェアに悪用された正規のアプリケーションであり、検体ではありません。例外リストへの登録はお控えください。

もし明確に過検出と考えられる状況が頻発するようであれば、発生している状況に応じて、ピンポイントで過検出を抑制する特殊な例外方法(過検出抑制パッチファイルなど)をご提供させていただきます。

そのため、過検出判定をご希望の場合、検体(検出パスとして表示されるファイル=正規のアプリケーション)は不要となります。検出ログのみをご提供いただけますでしょうか。

※AMC管理コンソールの「検体収集機能」をご利用の場合、上記の理由から検体は収集されませんが、検出ログは収集されます。そのため、自動収集されたzipファイルをそのままご提供いただくことが可能です。

⚠ 注意

ファイルレスマルウェア対策機能での検出でも、ご利用のバージョンや検出状況により、例外的に本件に該当せず、検体が存在する場合や、検体が収集される場合もあります。

※2024年10月時点で、ファイルレスマルウェア対策機能の多くの検出が本件に該当しますが、本件に該当するかどうかの判別方法については、後述「【参考】検体が不要となる検出の判別方法」をご参照ください。


【参考】検体が不要となる検出の判別方法

AMC管理コンソールの「マルウェア情報」画面の「駆除状況」の表示で判別が可能です。



■ 「駆除不要」と表示されている場合(3.6.1以降のバージョンでは、「対象外(ZDPエンジンによる検出)」と表示されている場合)

上述「【注意】ZDPエンジンで脆弱性攻撃を検出した場合」の検出となります。この場合は、上述の通り、過検出判定にて検体が不要となり、検出ログのみが必要となります。


■ 「既に駆除されている」と表示されている場合(3.6.1以降のバージョンでは、「対象外(ファイルレスマルウェアの検出)」と表示されている場合)

上述「【注意】ファイルレスマルウェア対策機能で検出した場合」の検出となります。この場合は、上述の通り、過検出判定にて検体が不要となり、検出ログのみが必要となります。



検体/検出ログの取得方法

検体の取得方法

■ 検体収集機能が利用できる場合

AMCで管理されたクライアントの場合は、後述の「AMC管理コンソールの検体収集機能について」にて自動収集する方法を推奨させていただきます。検体/検出ログを同時に自動収集することが可能です。自動収集されたzipファイルをそのままご提供ください。また、弊社側での調査/解析時にzipファイルを展開するため、AMC管理コンソールの検体収集設定で設定したパスワードも併せてご提供ください。

※上述「【参考】検体が不要となる検出の判別方法」に記載のZDPエンジンやファイルレスマルウェア対策機能での検出の場合は、上述の通り検体は不要となりますが、検体収集機能をご利用の場合は、自動収集されたzipファイルをそのままご提供いただく形で問題ありません。


■ 検体収集機能が利用できない場合

検体収集機能がご利用いただけない場合や、独立したクライアントの場合は、ファイルそのものを手動でエクスプローラーなどからコピーしてご提供ください。

しかしながら、検体収集機能を利用せずに手動でご提供いただく場合には、以下の重要事項は必ずご確認をお願いします。

‼ 重要

  • 検体はマルウェアの可能性があります。そのため、取り扱いには十分ご注意ください。
  • 検体を誤って開いてしまった場合、マルウェアに感染してしまう可能性があります。弊社へご送付いただく経路上にて、重大なセキュリティ事故となる可能性があるため、検体収集機能を利用せずに手動でご提供いただく場合には、必ずパスワードzip形式などに圧縮してください。
  • パスワードzip形式など、セキュリティ事故を防ぐ対策が行われてない場合、弊社側で検体の受領ができない場合がありますため、ご注意ください。
  • 検体収集機能を利用せずに手動でご提供いただく場合には、取得タイミングやエクスプローラーの表示設定(隠しファイルの設定など)など、様々な要因により、正常に取得できない場合があります。
  • 上記のことからも、後述の「AMC管理コンソールの検体収集機能について」にて自動収集する方法を推奨させていただきます。


検出ログの取得方法

■ 検体収集機能が利用できる場合

AMCで管理されたクライアントの場合は、後述の「AMC管理コンソールの検体収集機能について」にて自動収集する方法を推奨させていただきます。検体/検出ログを同時に自動収集することが可能です。自動収集されたzipファイルをそのままご提供ください。また、弊社側での調査/解析時にzipファイルを展開するため、AMC管理コンソールの検体収集設定で設定したパスワードも併せてご提供ください。

※上述「【参考】検体が不要となる検出の判別方法」に記載のZDPエンジンやファイルレスマルウェア対策機能での検出の場合でも、検体収集機能をご利用の場合は、自動収集されたzipファイルをそのままご提供ください。


■ 検体収集機能が利用できない場合

検体収集機能がご利用いただけない場合や、独立したクライアントの場合は、ログ収集ツールで手動で取得したログファイルをご提供ください。

ログ収集ツールについては、「FAQ:AMC/yaraiを導入してから遅延、クラッシュ、異常終了、BSOD、エラーなどが発生した場合の調査に必要な情報」の「1.問題が発生したマシン(yaraiクライアント)のログ」をご参照ください。

⚠ 注意

FAQ:検知ログはクライアントに何日間保持されますか?」にも記載の通り、yaraiはデフォルトでは直近の15世代分の検出ログを保持し、過去の検出ログはローテートされてしまう場合があります。

ログ収集ツールで手動で取得したログファイルをご提供いただく場合、上記のローテートの仕様により、ログ収集ツールの実行タイミングによっては検出ログが残っておらず、正常な過検出判定が行えないことがあります。なお、検体収集機能をご利用の場合は、検出時のログを自動収集するため、上記のローテートの影響を受けません。



【参考】AMCで管理されたクライアントの場合

AMC管理コンソールのマルウェア情報画面について

「マルウェア情報」画面はログ(履歴)ではなく、検出情報(検体/検出ログなど)の収集や過検出判定対応などが主な目的となるため、以下のような特徴があります。

  • 表示される情報は現在のものであり、クライアントの所属グループやIPアドレスなどが変更になれば「マルウェア情報」画面にも変更が反映されます。
  • 同じ端末で、同じ検出パスかつ同じハッシュ値のファイルを再検出した場合は、新規マルウェアとして情報は追加されず、同一マルウェアとして「検出/再検出の日時」が更新されます。
  • 検体収集機能を有効にすることにより、yaraiでマルウェアを検出した際に、検体/検出ログを自動的に収集することが可能です。収集した検体/検出ログは、「マルウェア情報」画面からダウンロード可能です。後述「AMC管理コンソールの検体収集機能について」もご参照ください。
  • Microsoft Defenderで検出された検体につきましては、AMC管理コンソールの「yaraiログ」画面側には表示可能ですが、「マルウェア情報」画面側には表示されません。また、検体収集機能を有効にしていても、検体/検出ログの収集は行われません。
✔ 情報

  • 検出時のログ(履歴)をご確認いただきたい場合は、AMC管理コンソールの「yaraiログ」画面をご参照ください。
  • 上述の通り、Microsoft Defenderで検出された検体は「マルウェア情報」画面側への表示はできませんが、Microsoft Defender連携機能をご利用いただいた場合、「yaraiログ」画面側への表示や通知メールの送信など、様々な連携機能が利用可能です。詳細については、製品マニュアルまたは「FAQ:Windows Defender/Microsoft Defender連携について教えてください(Defenderの管理)」をご参照ください。



AMC管理コンソールの検体収集機能について

検体収集機能を有効にすることにより、yaraiでマルウェアを検出した際に、検体/検出ログを自動的に収集することが可能です。収集した検体/検出ログは、「マルウェア情報」画面からダウンロード可能です。



上述「過検出か否かの判定に必要な情報」に記載の通り、過検出判定に必要な情報は複数存在しますが、本機能をご利用いただければ、自動収集されたzipファイル(※パスワードzip形式に自動圧縮されたファイル)をそのままご利用いただけます。

また、「検体自動判定システム/過検出判定システム」(※弊社クラウドサーバーとの連携機能)をご利用いただかなくても、検体収集機能のみをご利用いただくことも可能です。

そのため、検体収集機能については、特に問題が無ければ、ご利用いだくことを推奨させていただきます。本機能の詳細や利用手順については、AMCのオペレーションマニュアルをご参照ください。



AMC管理コンソールのマルウェア情報画面の「過検出判定状況」について

「検体自動判定システム/過検出判定システム」をご利用の場合、過検出の対応にかかる作業(問い合わせや送付物の準備など)を自動化することが可能です。

その際の、各検体の過検出判定の現在の状況=ステータスが、「マルウェア情報」画面の「過検出判定状況」に表示されますが、お問い合わせが多いステータスについて、以下、AMCオペレーションマニュアルより抜粋記載させていただきます。



■ 「対象外」と表示されている場合

以下に該当するような「検出エンジンの特定機能」で検出された場合が該当します。

  • ZDPエンジンやファイルレスマルウェア対策機能での検出であり、かつ上述「【参考】検体が不要となる検出の判別方法」に記載の状況になる場合
  • HIPSエンジンの複製された正規プログラムの悪用対策機能での検出
  • HIPSエンジンの不正停止検出機能での検出

※上記のような「検出エンジンの特定機能」で検出された場合、「検体自動判定システム/過検出判定システム」を経由した自動判定は行えません。過検出判定をご希望の場合には、検体収集機能で自動収集されたzipファイルを手動でご取得いただき、ご購入いただいた販売店を経由してご提供をお願いします。

なお、上記「検出エンジンの特定機能」以外では、ハンティング機能で検出された場合も該当します。ハンティング機能の詳細については「FAQ:ハンティング機能について教えてください」をご参照ください。


■ 「データが不十分」と表示されている場合

主に以下のような場合となります。

  • 検体が使用中や一時ファイルであったなど、何らかの理由により、検体収集機能で自動収集されたzipファイル内に検体が存在しない場合
  • 検体収集機能で自動収集されたzipファイル内の検体が0バイトの場合
  • 検体が使用中や一時ファイルであったなど、何らかの理由により、検体のハッシュ値情報が取得できなかった場合(※「マルウェア情報」画面の「ハッシュ値(SHA-256)」が空白)

※この場合、「検体自動判定システム/過検出判定システム」を経由した自動判定は行えません。過検出判定をご希望の場合には、まずは検出状況を確認させていただきたいため、以下の情報を添えて、ご購入いただいた販売店を経由してご提供をお願いします。

  • ご利用のAMCおよびyaraiの正確なバージョン情報
  • 検体収集機能で自動収集されたzipファイル(※存在しない場合は、その旨のご連絡をお願いします)
  • 「データが不十分」と表示された「マルウェア情報」画面のハードコピーまたはエクスポートしたファイル(※検出日時、ホスト名、検出エンジン、検出パス、ハッシュ値、過検出判定状況など、同画面の全ての情報が分かる形でお願いします)
  • 「データが不十分」と表示された検出の「yaraiログ」画面のハードコピーまたはエクスポートしたファイル(※検出日時、ホスト名、検出エンジン、検出パス、検出理由など、同画面の全ての情報が分かる形でお願いします)

■ 上記以外の情報について

AMCオペレーションマニュアルや「FAQ:検体自動判定システム/過検出判定システムについて教えてください」をご参照ください。



この内容は参考になりましたか?
  • このフォームにお寄せいただいたご意見への回答は行っておりません(回答が必要な場合は販売店までお問い合わせください)
  • お名前、ご連絡先等の個人情報は入力しないようお願いいたします
  • 250文字以内でご記入をお願いいたします
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
pagetop