「ウイルス対策およびマルウェア対策保護」機能について
注意:説明画像内において、以下のような黄緑色のチェックマークで示されている項目、また、各項目・機能の説明において有料オプションであると記載されている項目は、有料のオプションパックに含まれる内容です。オプションを購入されていないお客様の環境では、オプションの設定項目は表示されません。
Active Protectionは、システムをランサムウェア (身代金ウイルス) や不正な仮想通貨採掘を行うマルウェアから保護するための仕組みです。
保護されているマシンで実行されているプロセスを監視し、不正な動作を検知した場合、警告を出して、保護計画で設定されているアクションを実行します。その他、Active Protection は、バックアップソフトウェア自体のプロセスや、レジストリ、実行可能ファイルや設定ファイル、及びローカルフォルダにあるバックアップへの不正な変更を防止します。
【Active Protectionの設定方法・オプション】
Active Protectionは、保護計画の作成画面から「ウイルス対策およびマルウェア対策保護」をクリックすると開かれるオプション画面から設定を行うことができます。各設定項目の内容は以下の通りです。設定項目をクリックすることにより、当該項目の設定変更・詳細設定を行うことができます。
[Active Protection]
ランサムウェアのアクティビティ検出時に実行するアクションの設定項目です。
次のいずれかの項目を選択することができます。
- 通知のみ
- プロセスの停止
- キャッシュを使用して元に戻す (既定)
[高度なマルウェア対策機能]
注意:この機能・設定は有料の「Advanced セキュリティ」オプションパックに含まれる内容です。
この機能をオンにすると、ローカル署名ベースの検出プロセスが有効化され、クイックスキャン、フルスキャンの両方において、マルウェア検出の効率を向上させます。リアルタイム保護機能 (以下の項目にて説明。) は、この、ローカル署名ベースでの検出プロセスでのみ使用することができます。また、macOS、Linuxにおけるアンチウイルス・マルウェア保護機能をご利用の際には、このローカル署名ベースでの検出が必要となります。Windowsについては、本機能無しでもアンチウイルス・マルウェア保護機能をご利用いただけます。
[ネットワークフォルダの保護]
この設定項目では、Active Protectionによってローカルドライブとして認識されているネットワークフォルダを、有害なプロセスから保護する範囲に含めるかを設定します。(Windowsの「ネットワークドライブの割り当て」機能により認識されているネットワークフォルダ等) SMB (Samba) やNFSプロトコル経由で共有されているフォルダに対する設定となります。
攻撃を受けたファイルが、このようなローカルドライブとして認識されているネットワークフォルダに存在していた場合、「Active Protection」設定の「キャッシュを使用して元に戻す」オプションによって、キャッシュからの復旧を行う際に、元のファイルロケーションへと保存することはできません。本設定では、その代わりに保存されるフォルダの場所を指定します。デフォルトのフォルダは「C:\ProgramData\Acronis\Restored Network Files」となります。指定可能なファイルの場所は、ローカルフォルダのみとなります。
[サーバー側保護機能]
この設定では、自分が共有しているネットワークフォルダを、脅威をもたらす可能性のあるネットワーク内の他のサーバからの外部からの接続から保護するかどうかを設定します。(既定: オフ)
[自己防御]
自己防御機能は、バックアップソフトウェア自体のプロセス、レジストリレコード、実行可能ファイルや設定ファイル、ローカルフォルダ内のバックアップへの不正な変更を防止します。この設定は無効にしないことをお勧めいたします。(規定: 有効)
※自己防御機能はLinuxではサポートされていません。
[クリプトマイニングプロセス検出]
この設定項目では、不正な仮想通貨マイニングを行うマルウェアの検知機能を設定します。サーバー内での仮想通貨マイニングプログラムの動作は、有用なアプリケーションのパフォーマンスを低下させる可能性があります。機能のオン・オフの他に、検出時に行うアクションを選択することができます。
- 通知のみ
- プロセスの停止 (既定)
[検疫]
検疫フォルダ機能は、疑わしい (感染の可能性がある) ファイルや危険が潜んでいるファイルを隔離する機能です。保護計画において、感染が確認されたファイルに対して行うアクションとして検疫を設定した場合に利用されます。この機能では、以下の設定を行うことができます。
- 検疫されたファイルを削除するまでの時間
検疫されたファイルが削除されるまでの時間を設定します。(既定: 30日)
検疫されたファイルは、左パネル [マルウェアからの保護] > [検疫] から確認することができます。
また、検疫されたファイルに対して、以下のアクションを行うことができます。
- 削除
隔離されたファイルをマシンから完全に削除します。同じハッシュ値を持つファイルをまとめて削除することが可能です。ハッシュ値でファイルをグループ化し、選択することができます。
- 復元
隔離されたファイルを変更せずに、元のロケーションに戻します。元のロケーションに同じ名前のファイルが存在する場合は、復元するファイルによって上書きされますので、ご注意ください。なお、復元されたファイルはホワイトリストに追加され、以後のスキャンではスキップされます。
検疫されたファイルが保存されているデフォルトのロケーションは以下の通りです。
Windowsの場合: %ProgramData%\%product_name%\Quarantine
Mac/Linuxの場合: /usr/local/share/%product_name%/quarantine
これらの検疫フォルダは、自己防御機能により保護されています。
[振る舞い検知エンジン]
この設定を有効にすると、振る舞い検知エンジンを利用してシステムを保護します。
プロセスによって実行された一連のアクションと、悪意のあるふるまいのパターンのデータベースを比較することにより、悪意のあるプロセスの特定します。マルウェアの典型的なふるまいを 検出することによって、新しいマルウェアの検出に役立ちます。なお、本機能はLinuxをサポートしていません。
(既定: 有効)
[スケジュールスキャン]
マシンでマルウェアのチェックを行うスケジュールを設定することができます。
・クイックスキャン
クイックスキャンでは、マシン内でマルウェアが存在しそうな場所のみスキャンを行います。
- 検出時のアクション
- 検疫 (既定)
アラートを生成し、ファイルが検疫フォルダに移されます。(指定期間後に自動削除されます。詳しくは本ページの [検疫] 設定の説明をご参照ください。)
- 通知のみ
マルウェアである疑いがあるプロセスについてのアラートが生成されます。
- 次のイベントを使ってタスクの実行スケジュールの設定
次の項目によって、スキャンの実行スケジュールを設定します。
- 時刻でスケジュール (既定)
タスクは指定した時間に実行されます。
- システムへのユーザーログイン時
デフォルトでは、いずれかのユーザがログインするとタスクが開始する設定となっています。特定のユーザがログインした際に実行するような設定を行うことも可能です。
- ユーザーがシステムからログオフするとき
デフォルトでは、いずれかのユーザがログインするとタスクが開始する設定となっています。特定のユーザがログインした際に実行するような設定を行うことも可能です。これは「ログオフ」時の実行であり、「シャットダウン」時には実行されません。「シャットダウン」時の実行については下部の設定を確認してください。
- システムの起動時
OSの起動時にタスクを実行します。
- システムのシャットダウン時
OSのシャットダウン時にタスクを実行します。
- スケジュールの種類
- 月次
タスクを実行する月と、その月内の週または日を選択します。
- 日次 (既定)
タスクを実行する週内の日を選択します。
- 毎時
タスクを実行する週内の日、繰り返しの回数、時間間隔を選択します。
- 開始時刻
タスクを実行する正確な時間を選択します。
- 日付範囲内に実行
設定したスケジュールが有効となる日付の範囲の設定を行うことができます。
- 開始条件
タスクを実行するための条件を設定します。
- 設定した時間枠内でタスク開始時間を分散する
この設定を使用すると、タスクを実行する時間枠を設定して、ネットワークのボトルネックを回避することができます。遅延時間は時間・分単位で設定することができます。例として、デフォルトの開始時間が10:00で、遅延を60分とした場合、タスクは10:00-11:00の間のどこかで開始されます。
- マシンの電源が入っていないため実行されなかったタスクを起動時に実行する
このオプションは、Windowsが実行されているマシンのみで有効です。
- タスク実行中はスリープモードや休止モードに入らない
- スリープモードや休止モードから起動して、スケジュールされたタスクを開始する
- ユーザーがアイドル状態
- ユーザーがログオフ
- 以下の開始・終了時刻に該当
- バッテリー電源を節約
- 従量制課金の接続時には開始しない
- 以下のWi-Fiネットワークに接続している場合は開始しない
- デバイスのIPアドレスをチェック
- 開始条件を満たさない場合でも、次の時間の経過後にタスクを実行
他の開始条件にかかわらず、タスクが実行されるまでの時間を指定します。
- 新規ファイルと変更されたファイルのみスキャン (既定)
新しく作成されたファイルと変更されたファイルのみスキャン対象とします。
・完全スキャン
完全スキャン・フルスキャンでは、すべてのファイルをチェックするため、クイックスキャンと比べかなりの時間を必要とします。クイックスキャンと共通の設定項目については、上記のクイックスキャンの説明をご参照ください。
- 検出時のアクション
- 次のイベントを使ってタスクの実行スケジュールを設定
- スケジュールの種類
- 開始時刻
- 日付範囲内に実行
- 開始条件
- アーカイブファイルのスキャン
- 再起動作の最大深 (既定: 16)
どのレベルまで埋め込みアーカイブをスキャンするかを設定することができます。
例: MIMEドキュメント > ZIP圧縮 > Officeファイル > ドキュメントの内容
- 最大サイズ (既定: 無制限)
スキャンするファイルの最大サイズを設定することができます。
- リムーバブルドライブのスキャン
- マッピングされた (遠隔) ネットワークドライブ
- USBストレージドライブ (USBメモリや外部HDDなど)
- CD/DVD
(リムーバブルドライブのスキャン機能はLinuxをサポートしていません。)
- 新規ファイルと変更されたファイルのみスキャン
保護計画では、クイックスキャンとフルスキャン両方のスケジュールを設定することができます。
(既定: クイックスキャンとフルスキャンの両方の設定が行われています。)
[エクスプロイト保護]
注意:この機能・設定は有料の「Advanced セキュリティ」オプションパックに含まれる内容です。
エクスプロイト保護機能は、ウイルスに感染したプロセスによるWindowsシステムのソフトウェア脆弱性の拡散・悪用を防ぎます。エクスプロイト (脆弱性への攻撃) が検出された場合、エクスプロイトによるアクティビティが疑われるプロセスについてのアラートが生成され、プロセスが停止させることができます。
この機能は、エージェントバージョン12.5.23130(21.08、2020年8月リリース)以降でのみ利用が可能です。
(既定: 新規作成された保護計画では「有効」、以前のバージョンのエージェントで作成された既存の保護計画においては「無効」となっています。)
本機能はLinuxをサポートしていません。
エクスプロイト保護では、以下の設定が可能です。
- 検出時のアクション
- 通知のみ
マルウェアのアクティビティが疑われるプロセスについてのアラートが生成されます。
- プロセスの通知と停止 (既定)
アラートを生成するとともに、プロセスを停止させます。
- エクスプロイト保護の手法を有効にする (既定: すべて有効)
- メモリ保護
- リターン指向プログラミング (ROP) 保護
- 権限昇格保護
- コードインジェクション保護
[除外] において、「信頼できる」プロセスとして登録されているプロセスに対しては、本機能のスキャンが実行されません。
[リアルタイム保護]
注意:この機能・設定は有料の「Advanced セキュリティ」オプションパックに含まれる内容です。
本機能では、システムの電源がオンとなっている間、定期的なスキャンとは別に、マシンのシステム中にウイルスや他の脅威がないか常時検査を行います。(既定: 有効)
本機能では、ローカル署名ベースの検知プロセスを利用します。そのため、本機能を利用するには、[リアルタイム保護] 設定の他に、[高度なマルウェア対策機能] も有効化されている必要があります。
本機能では、以下の設定を行うことができます。
- 検出時のアクション
- ブロックと通知
マルウェアのアクティビティが疑われるプロセスについてのアラートが生成されます。
- 検疫 (既定)
アラートの生成と共に、プロセスが停止され、ファイルが検疫フォルダに移動されます。
- スキャンモード
スキャンを行うタイミングを設定することができます。
- スマートオンアクセス (既定)
全てのシステムアクティビティを監視し、ファイルへの読み取り/ 書き取りアクセスがあった際や、プログラムの起動時に自動的にファイルをスキャンします。
- 実行時
実行可能ファイルの起動時に、自動的に実行可能ファイルのみをスキャンし、異常がなく、マシン・データに損害を与えないことを確認します。
[除外]
ヒューリスティック分析 (プロセスのふるまいによって、不正なプログラムか否かを判断する分析方法) に使用するコンピュータのリソースを最低限にするため、また、正当なプログラムの誤検知を防止するため、「信頼できる」「ブロック」するプロセスについて、必要に応じて以下の設定を行ってください。
- 信頼できる
- マルウェアとは絶対に見なされないプロセス。なお、Microsoftが署名したプログラムのプロセスは常に信頼されます。
- ファイル変更を監視しないフォルダ
- スケジュールに基づくスキャンを実行しないファイルとフォルダ
- ブロック
- 常にブロックするプロセス。Active Protectionまたはマルウェア対策保護がこの設定に含まれていると、これらのプロセスを開始することができなくなります。
- すべてのプロセスをブロックするフォルダ
既定の設定では、「ブロック」には何も設定されていません。
ワイルドカード (*) を利用して、ブロックリストにアイテムを追加することができます。また、環境変数を利用しての設定も可能です。これは、Windowsのシステム変数についてのみ利用可能です。(%USERNAME%、%APPDATA%などのユーザー固有の変数はサポートされていません。{username}を伴う変数はサポート対象外です。 )
ワイルドカード・環境変数を利用した設定例 :
- %WINDIR%\Media
- %public%
- %CommonProgramFiles%\Acronis\*