はじめに
前提事項
【推奨】過検出の対応にかかる作業を自動化したい場合
【重要】他社ウイルス対策ソフトで検出した場合
過検出か否かの判定に必要な情報
検体ファイル(以降、「検体」と表記)
検出ログ
【注意】ZDPエンジンで脆弱性攻撃を検出した場合
【注意】ファイルレスマルウェア対策機能で検出した場合
【参考】検体が不要となる検出の判別方法
検体/検出ログの取得方法
検体の取得方法
検出ログの取得方法
【参考】AMCで管理されたクライアントの場合
AMC管理コンソールのマルウェア情報画面について
AMC管理コンソールの検体収集機能について
AMC管理コンソールのマルウェア情報画面の「過検出判定状況」について
yaraiはパターンファイルに依存せず、様々なヒューリスティック検出技術(※1)で、既知・未知のマルウェアや脆弱性攻撃をリアルタイムで検出可能とします。
また、様々な他社ウイルス対策ソフト(Microsoft Defenderなど)と同居することも可能(※2)であり、これにより多重防御も実現します。
さらに、クラウド連携機能(※3)を利用することにより、世界中から収集した脅威情報データベースを持つクラウドサーバーと連携して、yaraiの検出精度を高めることが可能になります。
上記のような検出/防御機能により、yaraiで検出したファイルについて、検出状況によっては過検出か否かの判定を行いたい場合があります。
その場合、後述「【推奨】過検出の対応にかかる作業を自動化したい場合」に記載の「検体自動判定システム/過検出判定システム」をご利用いただく形か、ご購入いただいた販売店を経由して過検出判定依頼を出していただく形となりますが、本FAQでは、その際に必要な情報や注意事項などについて、記載させていただきます。
過検出の対応にかかる作業(問い合わせや送付物の準備など)を自動化したい場合や、工数を削減したい場合には、「検体自動判定システム/過検出判定システム」および「クラウド連携」の利用を推奨します。本FAQに記載の作業の多くを自動化することが可能です。
各機能の詳細については、以下のそれぞれのFAQをご参照ください。
他社ウイルス対策ソフト(※Microsoft Defender含む)で検出したファイルの過検出の判定は承っておりません。他社ウイルス対策ソフトのメーカー様へお問い合わせをお願いします。
他社ウイルス対策ソフトとしてMicrosoft Defenderをご利用で、かつ弊社製品側のMicrosoft Defender連携機能をご利用の場合も、同様に過検出の判定は承っておりません。
連携機能は、Microsoft Defenderの管理を補助・支援するための機能であり、 Microsoft Defender自体を弊社がサポートするわけでありません。そのため、Microsoft Defender自体の動作や仕様または検出に関するお問い合わせについては、Microsoft社様へお問い合わせください。
※Microsoft Defender側の仕様とも関連して、複数の制限/注意事項があります。そのため、連携機能をご利用いただく場合には、事前に最新版のシステム要件および製品マニュアルをご確認ください。また、併せて「FAQ:Windows Defender/Microsoft Defender連携について教えてください(Defenderの管理)」もご参照ください。
原則的に、以下の2つの情報が必要となります。取得方法については、別途、後述します。
※後述の通り、検出エンジンや検出機能によっては、何れか1つのみ必要となる場合があります。
yaraiで検出したファイルそのものが必要です。
※yaraiやAMC管理コンソールや通知メールなどに検出パスとして表示されるファイルの実体です。
yaraiで検出した際の、製品側の詳細な検出ログが必要です。
※検出エンジンや検出パスなどの基本的な情報以外にも、様々な付随情報が必要となるため、弊社指定の方法で取得していただく必要があります。
ZDPエンジンは、他のエンジンとは異なり、脆弱性攻撃から正規のアプリケーション(Microsoft社のOffice製品やブラウザーなど)を防御するエンジンとなり、正規のアプリケーションを監視して、攻撃と考えられる異常な状態になった場合に検出します。
そのため、検出パスとして表示されるファイルは、脆弱性攻撃を受けた正規のアプリケーションであり、検体ではありません。例外リストへの登録はお控えください。
検出状況に大きく依存しますが、アプリケーションが一時的に不安定になるなど、一時的な原因により過検出が発生する可能性があります。
もし明確に過検出と考えられる状況が頻発するようであれば、発生している状況に応じて、ピンポイントで過検出を抑制する特殊な例外方法(過検出抑制パッチファイルなど)をご提供させていただきます。
そのため、過検出判定をご希望の場合、検体(検出パスとして表示されるファイル=正規のアプリケーション)は不要となります。検出ログのみをご提供いただけますでしょうか。
※AMC管理コンソールの「検体収集機能」をご利用の場合、上記の理由から検体は収集されませんが、検出ログは収集されます。そのため、自動収集されたzipファイルをそのままご提供いただくことが可能です。
検体(検出パスとして表示されるファイル=正規のアプリケーション)を、明示的に「脆弱性を防御しない」のオプションを有効にした状態で例外リストにご登録いただくことでも、過検出を抑制することも可能です。
しかしながら、例外リストにご登録いただいた場合、正規のアプリケーションに対する脆弱性攻撃を防御することができなくなるため、特に脆弱性が悪用されやすい正規のアプリケーション(Microsoft社のOffice製品やブラウザーなど)に対して設定することは、弊社としては推奨していません。
例外リストの詳細については、「FAQ:例外リストの作成方法を教えてください」も併せてご参照ください。
ZDPエンジンでの検出でも、ご利用のバージョンや検出状況により、例外的に本件に該当せず、検体が存在する場合や、検体が収集される場合もあります。
※2022年12月時点で、ZDPエンジンでの殆どの検出が本件に該当しますが、本件に該当するかどうかの判別方法については、後述「【参考】検体が不要となる検出の判別方法」をご参照ください。
ファイルレスマルウェアとは、ファイルの実体が存在しない攻撃手法となり、一般的に、PowerShellなどの正規のアプリケーションを悪用した攻撃となります。
そのため、検出パスとして表示されるファイルは、マルウェアに悪用された正規のアプリケーションであり、検体ではありません。例外リストへの登録はお控えください。
もし明確に過検出と考えられる状況が頻発するようであれば、発生している状況に応じて、ピンポイントで過検出を抑制する特殊な例外方法(過検出抑制パッチファイルなど)をご提供させていただきます。
そのため、過検出判定をご希望の場合、検体(検出パスとして表示されるファイル=正規のアプリケーション)は不要となります。検出ログのみをご提供いただけますでしょうか。
※AMC管理コンソールの「検体収集機能」をご利用の場合、上記の理由から検体は収集されませんが、検出ログは収集されます。そのため、自動収集されたzipファイルをそのままご提供いただくことが可能です。
ファイルレスマルウェア対策機能での検出でも、ご利用のバージョンや検出状況により、例外的に本件に該当せず、検体が存在する場合や、検体が収集される場合もあります。
※2022年12月時点で、ファイルレスマルウェア対策機能の多くの検出が本件に該当しますが、本件に該当するかどうかの判別方法については、後述「【参考】検体が不要となる検出の判別方法」をご参照ください。
AMC管理コンソールの「マルウェア情報」画面の「駆除状況」の表示で判別が可能です。
上述「【注意】ZDPエンジンで脆弱性攻撃を検出した場合」の検出となります。この場合は、上述の通り、過検出判定にて検体が不要となり、検出ログのみが必要となります。
上述「【注意】ファイルレスマルウェア対策機能で検出した場合」の検出となります。この場合は、上述の通り、過検出判定にて検体が不要となり、検出ログのみが必要となります。
AMCで管理されたクライアントの場合は、後述の「AMC管理コンソールの検体収集機能について」にて自動収集する方法を推奨させていただきます。検体/検出ログを同時に自動収集することが可能です。自動収集されたzipファイルをそのままご提供ください。また、弊社側での調査/解析時にzipファイルを展開するため、AMC管理コンソールの検体収集設定で設定したパスワードも併せてご提供ください。
※上述「【参考】検体が不要となる検出の判別方法」に記載のZDPエンジンやファイルレスマルウェア対策機能での検出の場合は、上述の通り検体は不要となりますが、検体収集機能をご利用の場合は、自動収集されたzipファイルをそのままご提供いただく形で問題ありません。
検体収集機能がご利用いただけない場合や、独立したクライアントの場合は、ファイルそのものを手動でエクスプローラーなどからコピーしてご提供ください。
しかしながら、検体収集機能を利用せずに手動でご提供いただく場合には、以下の重要事項は必ずご確認をお願いします。
AMCで管理されたクライアントの場合は、後述の「AMC管理コンソールの検体収集機能について」にて自動収集する方法を推奨させていただきます。検体/検出ログを同時に自動収集することが可能です。自動収集されたzipファイルをそのままご提供ください。また、弊社側での調査/解析時にzipファイルを展開するため、AMC管理コンソールの検体収集設定で設定したパスワードも併せてご提供ください。
※上述「【参考】検体が不要となる検出の判別方法」に記載のZDPエンジンやファイルレスマルウェア対策機能での検出の場合でも、検体収集機能をご利用の場合は、自動収集されたzipファイルをそのままご提供ください。
検体収集機能がご利用いただけない場合や、独立したクライアントの場合は、ログ収集ツールで手動で取得したログファイルをご提供ください。
ログ収集ツールについては、「FAQ:AMC/yaraiを導入してから遅延、クラッシュ、異常終了、BSOD、エラーなどが発生した場合の調査に必要な情報」の「1.問題が発生したマシン(yaraiクライアント)のログ」をご参照ください。
「FAQ:検知ログはクライアントに何日間保持されますか?」にも記載の通り、yaraiはデフォルトでは直近の15世代分の検出ログを保持し、過去の検出ログはローテートされてしまう場合があります。
ログ収集ツールで手動で取得したログファイルをご提供いただく場合、上記のローテートの仕様により、ログ収集ツールの実行タイミングによっては検出ログが残っておらず、正常な過検出判定が行えないことがあります。なお、検体収集機能をご利用の場合は、検出時のログを自動収集するため、上記のローテートの影響を受けません。
「マルウェア情報」画面はログ(履歴)ではなく、検出情報(検体/検出ログなど)の収集や過検出判定対応などが主な目的となるため、以下のような特徴があります。
検体収集機能を有効にすることにより、yaraiでマルウェアを検出した際に、検体/検出ログを自動的に収集することが可能です。収集した検体/検出ログは、「マルウェア情報」画面からダウンロード可能です。
上述「過検出か否かの判定に必要な情報」に記載の通り、過検出判定に必要な情報は複数存在しますが、本機能をご利用いただければ、自動収集されたzipファイル(※パスワードzip形式に自動圧縮されたファイル)をそのままご利用いただけます。
また、「検体自動判定システム/過検出判定システム」(※弊社クラウドサーバーとの連携機能)をご利用いただかなくても、検体収集機能のみをご利用いただくことも可能です。
そのため、検体収集機能については、特に問題が無ければ、ご利用いだくことを推奨させていただきます。本機能の詳細や利用手順については、AMCのオペレーションマニュアルをご参照ください。
「検体自動判定システム/過検出判定システム」をご利用の場合、過検出の対応にかかる作業(問い合わせや送付物の準備など)を自動化することが可能です。
その際の、各検体の過検出判定の現在の状況=ステータスが、「マルウェア情報」画面の「過検出判定状況」に表示されますが、お問い合わせが多いステータスについて、以下、AMCオペレーションマニュアルより抜粋記載させていただきます。
上述「【参考】検体が不要となる検出の判別方法」に記載のZDPエンジンやファイルレスマルウェア対策機能での検出や、EDR/ハンティング機能で検出された場合となります。
※この場合、「検体自動判定システム/過検出判定システム」を経由した自動判定は行えません。ZDPエンジンやファイルレスマルウェア対策機能での検出で、過検出判定をご希望の場合には、検体収集機能で自動収集されたzipファイルを手動でご取得いただき、ご購入いただいた販売店を経由してご提供をお願いします。
主に以下のような場合となります。
※この場合、「検体自動判定システム/過検出判定システム」を経由した自動判定は行えません。過検出判定をご希望の場合には、まずは検出状況を確認させていただきたいため、以下の情報を添えて、ご購入いただいた販売店を経由してご提供をお願いします。
AMCオペレーションマニュアルや「FAQ:検体自動判定システム/過検出判定システムについて教えてください」をご参照ください。
