ユーザガイド - Kaspersky Lab
ユーザガイド - Kaspersky Lab
ユーザガイド - Kaspersky Lab
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
ユ ー ザ ガ イ ド<br />
5. 表示された [設定: アプリケーション動作分析] ウィンドウで、[全般] セクションの<br />
[システムユーザアカウントを監視する] チェックボックスをオン ( ) にします。<br />
プロアクティブディフェンスのイベント<br />
このセクションでは、危険として扱われる可能性のあるプロアクティブディフェンスのイベントについて説明します。どのイベントも、<br />
脅威であると断定的に解釈してはならないことに注意してください。コンピュータで実行されているアプリケーションの通常のふる<br />
まいの一部、またはアプリケーションの機能に対するオペレーティングシステムからの応答と考えることができるイベントもありま<br />
す。一方、侵入者のアクティビティやマルウェアによって引き起こされたイベントであることが判明する場合もあります。したがって、<br />
プロアクティブディフェンスの反応は必ずしも、検知されたアクティビティがマルウェアによって引き起こされたことを示すものではな<br />
い、つまり、通常の無害なプログラムでマルウェアと一部の特徴が似ているだけという可能性もあることを意識することは大切で<br />
す。<br />
P2P ワームでよく見られるアクティビティ/トロイの木馬でよく見られるアクティビティ<br />
ワームは自己複製する機能を持つプログラムで、コンピュータネットワークを介して広まります。P2P ワームは、一元管理シ<br />
ステムを回避して「コンピュータからコンピュータに」広がります。その種のワームは必ずと言っていいほど、共有ネットワーク<br />
フォルダとリムーバブルメディアを感染経路としています。<br />
トロイの木馬は、無害なプログラムを装ってコンピュータに侵入するマルウェアです。ハッカーは、オープンネットワークリソー<br />
ス、コンピュータにある記録可能なデータメディア、リムーバブルメディアにトロイの木馬をアップロードし、メールなどのメッ<br />
セージングサービスを利用してそれらを配布してコンピュータ上で動作させます。<br />
この種のプログラムの典型的なアクティビティは次のとおりです:<br />
システムに侵入し定着する悪意あるオブジェクトでよく見られる動作<br />
悪意ある処理自体<br />
悪意あるオブジェクトの増殖時によく見られる動作<br />
キーロガー<br />
キーロガーは、キーボードのキー操作をすべてインターセプトするプログラムです。この種のマルウェアは、キーボードで入力<br />
されたあらゆる情報 (ログイン情報、パスワード、クレジットカード番号) を侵入者に送信します。ところが、一般の正当なプロ<br />
グラムでもキー操作のインターセプトを行う場合があります。この種のプログラムの例として、ユーザがどのキーを押している<br />
かを識別するためにキーボードから入力されるデータをインターセプトする必要がある、フルスクリーンモードのビデオゲーム<br />
があります。キー操作のインターセプトは、別のプログラムから「ホットキー」を使って機能をアクティベートするプログラムでも<br />
よく利用されます。<br />
ドライバのインストールの隠蔽<br />
ドライバインストールの隠蔽は、オペレーティングシステムへの低レベルアクセスを取得するためにマルウェアのドライバをイ<br />
ンストールする処理で、システムに存在し続けるマルウェアを隠し、削除されにくくする効果があります。インストールの隠蔽<br />
は、Microsoft Windows タスクマネージャーのような一般的な手段によって検知できますが、ドライバのインストール時に標<br />
準のインストールウィンドウが表示されないため、システム内で実行中のプロセスを追跡する必要にユーザが気づくことはほ<br />
とんどありません。<br />
ただし、プロアクティブディフェンスから誤検知が返される場合も考えられます。たとえば、最近のビデオゲームは不正なコ<br />
ピーや配布ができないようになっており、システムドライバは、そのような見地からユーザのコンピュータにインストールされま<br />
す。そのような場合、アクティビティが「ドライバのインストールの隠蔽」として分類される可能性があります。<br />
オペレーティングシステムカーネルの変更<br />
オペレーティングシステムカーネルは、コンピュータで実行されるアプリケーションに、CPU、メモリ、外部ハードウェアなどの<br />
コンピュータのリソースに対する調整済みのアクセス権を与えます。クエリを標準ドライバから自分自身へリダイレクトして、オ<br />
ペレーティングシステムカーネルのロジックの変更を試みるマルウェアもあります。マルウェアは、そのようにしてオペレーティ<br />
ングシステムへの低レベルアクセスを取得した後、自分自身を隠してシステムから削除されるプロセスを複雑化しようとしま<br />
す。<br />
プロアクティブディフェンスから誤検知が返される例としては、ハードディスク用に設計された特定の暗号化システムへのコン<br />
ポーネントの応答があります。包括的なデータ保護を実現する目的を持つそれらのシステムは、ハードディスク上のファイル<br />
へのクエリをインターセプトして暗号化/複合化処理を実行するために、オペレーティングシステムカーネルに埋め込まれるド<br />
ライバをシステムにインストールします。<br />
64