目次

はじめに

例外リストには、大きく分けてファイルパスとハッシュ値の２種類の指定方法があります。
ハッシュ値で指定する場合に、ご利用の環境や検知状況によって、例外が機能しない場合があります。以下に代表的なケースをご案内します。

製品の不具合によるもの

・ディープマクロ分析機能で同一ファイルを繰り返し検出した場合、ハッシュ例外が機能しない不具合

yarai v3.5.0において、ディープマクロ分析機能で同一ファイルを繰り返し検出した際に、そのファイルのハッシュ値が取得できない不具合があり、その結果ハッシュ例外が機能しないことがあります。
本不具合はyarai v3.5.3で修正されています。

しかしながら、Microsoft社のOffice製品側（ExcelやWordなど）の仕様により、Office文書ファイルは保存するとハッシュ値が変化する場合があるため、ハッシュ値による例外登録は推奨いたしません。
詳しくは、後述の「Office製品の仕様によりハッシュ値が変更された場合」を参照してください。

製品の仕様によるもの

・HIPSエンジンのファイルレスマルウェア対策機能で検知した場合

本機能ではハッシュ例外は使用できません。
※ファイルレスマルウェアはファイルの実体が存在しないため、ファイルパスの例外も使用できません。検知状況に応じた特殊な方法での例外が必要となります。詳細については、ご購入いただいた販売店までお問い合わせください。

・ZDPエンジンで検知した場合

本機能の設計脆弱性対策機能以外で検知された場合は、ハッシュ例外は使用できません。

・HIPSエンジンの複製された正規プログラムの悪用対策機能で検知した場合

本機能ではハッシュ例外は使用できません。

その他

・ファイル使用中などのOS側の問題によりアクセスできなかった場合

ファイル使用中などのOS側の問題により、検知ファイルにアクセスできなかった場合、ハッシュ値が取得できず、ハッシュ例外が機能しない場合があります。
例えば、WindowsUpdateの処理中などで、ファイルが正常に読み込めずにハッシュ値が取得できなかった事例があります。

・Office製品の仕様によりハッシュ値が変更された場合

Microsoft社のOffice製品側（ExcelやWordなど）の仕様により、Office文書ファイルを保存するとハッシュ値が変わってしまう場合があります。
そのため、同じファイル名かつ同じマクロコードを保有しているファイルでも、ハッシュ値が変わってしまい、ハッシュ例外が機能しない場合があります。
Office文書ファイルの過検出が頻発する場合には、下記のFAQの「Office文書ファイルで、過検出が頻発している場合」もご参照ください。

特定のエンジン(HIPSなど)やアプリケーション(Excelなど)にて過検出が頻発する場合