除外リスト
信頼ゾーンは Kaspersky Endpoint Security が有効なときに監視しないオブジェクトとアプリケーションのリストで、システム管理者が設定します。
管理者は処理されるオブジェクトとコンピューターにインストールされるアプリケーションの特徴を考慮しながら、信頼ゾーンを個別に定義します。Kaspersky Endpoint Security がアクセスをブロックする特定のオブジェクトやアプリケーションが無害であることが確実なときには、オブジェクトやアプリケーションを信頼ゾーンに含めなければならない場合があります。管理者が、ユーザーが特定のコンピューターに対してローカルの信頼するゾーンを作成するよう許可することも可能です。これにより、ユーザーはポリシー内の信頼ゾーンの全体的なリストに加えて自分のローカルの除外リストと信頼するアプリケーションのリストを作成することができます。
Kaspersky Endpoint Security 12.5 for Windows から、EDR テレメトリを信頼ゾーンに追加できるようになりました。これにより、アプリケーションが Kaspersky Anti Targeted Attack Platform (EDR) ソリューション向けにテレメトリサーバーに送信するデータを最適化できます。
Kaspersky Endpoint Security 12.6 for Windows から、信頼するオブジェクトとアプリケーションは信頼ゾーンに追加されました。設定済みの信頼するオブジェクトとアプリケーションにより、SQL サーバー、Microsoft Exchange サーバー、System Center Configuration Manager 上で Kaspersky Endpoint Security を迅速に設定できます。つまり、サーバーでの本製品の信頼ゾーンを手動で設定する必要はありません。
信頼するオブジェクト
信頼するオブジェクトとは、Kaspersky Endpoint Security が特定のオブジェクトについてウイルスなどの脅威のスキャンを実行しないときに、オブジェクトが満たす必要のある一連の条件によって定義されます。
信頼するオブジェクトにより、ユーザーに損害を与える目的で悪用される可能性がある合法的なソフトウェアを安全に使用できるようになります。悪意のある機能はありませんが、このようなアプリケーションは侵入者によって悪用される可能性があります。ユーザーに損害を与える目的で悪用される可能性がある合法的なソフトウェアについて詳しくは、カスペルスキーのウイルス百科事典を参照してください。
このようなアプリケーションは Kaspersky Endpoint Security によってブロックされる場合があります。ブロックしないようにするには、使用している製品を信頼するオブジェクトに設定できます。これを行うには、カスペルスキーのウイルス百科事典に登録されている名前または名前マスクを信頼ゾーンに追加します。たとえば、ユーザーがコンピューターのリモート管理用に Radmin アプリケーションを使用しているとします。Kaspersky Endpoint Security はこの処理を疑わしいものとみなして、ブロックする可能性があります。アプリケーションがブロックされないようにするには、カスペルスキーのウイルス百科事典に登録されている名前または名前マスクによって信頼するオブジェクトを作成します。
情報を収集し、それを処理するために送信するアプリケーションがコンピューターにインストールされていると、Kaspersky Endpoint Security がそのアプリケーションをマルウェアに分類する可能性があります。それを防ぐために、ヘルプ内で説明する方法で Kaspersky Endpoint Security を設定することで、そのアプリケーションをスキャン対象から除外できます。
システム管理者が設定した以下のコンポーネントとタスクによって信頼するオブジェクトを使用できます:
信頼するアプリケーションのリスト
信頼するアプリケーションのリストは、ファイルおよびネットワークの動作(悪意のある動作を含む)やシステムレジストリへのアクセスが Kaspersky Endpoint Security によって監視されないアプリケーションのリストです。既定では、Kaspersky Endpoint Security はすべてのアプリケーションプロセスによってオープン、実行、保存されるオブジェクトを監視し、すべてのアプリケーションとこのようなアプリケーションが生成するネットワークトラフィックの処理を管理します。アプリケーションが信頼するアプリケーションのリストに追加されると、Kaspersky Endpoint Security はアプリケーションのアクティビティの監視を停止します。
信頼するオブジェクトと信頼するアプリケーションの違いは、信頼するオブジェクトの場合、Kaspersky Endpoint Security はファイルをスキャンしないのに対し、信頼するアプリケーションの場合は、開始されたプロセスを制御しないことです。信頼するアプリケーションが信頼するオブジェクトに含まれていないフォルダーに悪意のあるファイルを作成した場合、Kaspersky Endpoint Security はそのファイルを検知して脅威を排除します。フォルダーが除外リストに追加されている場合、Kaspersky Endpoint Security はこのファイルをスキップします。
たとえば、Microsoft Windows 標準のメモ帳アプリケーションで使用するオブジェクトが安全であり信頼できると考える場合は、Microsoft Windows メモ帳を信頼するアプリケーションのリストに追加し、このアプリケーションが使用するオブジェクトが監視されないようにすることができます。これにより、サーバーアプリケーションで特に重要となるコンピューターのパフォーマンスを高めることができます。
また、特定の処理が Kaspersky Endpoint Security によって疑わしい処理に分類されたとしても、多数のアプリケーションの機能を考慮すると安全な場合があります。たとえば、キーボードで入力したテキストの取得は、自動キーボードレイアウト切り替えプログラム(Punto Switcher など)では通常の処理です。このようなアプリケーションの特性を考慮して、アプリケーション処理を監視対象から除外するために、このようなアプリケーションを信頼するアプリケーションのリストに追加してください。
信頼するアプリケーションは、Kaspersky Endpoint Security と他のアプリケーションとの間の互換性の問題(たとえば、Kaspersky Endpoint Security と他のアンチウイルス製品によるサードパーティ製コンピューターのネットワークトラフィックの二重スキャンなど)を回避するのに役立ちます。
ただし、信頼するアプリケーションの実行ファイルとプロセスのウイルスおよびその他のマルウェアスキャンは実行されます。アプリケーションを Kaspersky Endpoint Security のスキャンから完全に除外するには、信頼するオブジェクトを設定します。
除外リストの設定
パラメータ
|
説明
|
検知するオブジェクトの種別
|
製品設定にかかわらず、Kaspersky Endpoint Security は常にウイルスやワーム、トロイの木馬を検知してブロックします。これらのプログラムはコンピューターに重大な損害を与える可能性があります。
- ウイルス、ワーム
サブカテゴリ:ウイルスやワーム(Viruses_and_Worms)
危険度:高
古典的なウイルスやワームは、ユーザーが許可していない処理を実行します。このようなウイルスやワームは、自己複製が可能な自身のコピーを作成することができます。
古典的ウイルス
古典的ウイルスがコンピューターに侵入すると、ファイルに感染して活動を開始し、悪意のある処理を実行し、それ自体のコピーを他のファイルに追加します。
古典的ウイルスは、コンピューターのローカルリソースでしか増殖しないため、自力で他のコンピューターに侵入できません。このウイルスが別のコンピューターに感染するのは、ウイルス自身のコピーを共有フォルダーに保管されているファイルまたは挿入された CD に追加したときや、ユーザーが感染したファイルを添付したメールを転送したときです。
古典的ウイルスのコードはコンピューター、オペレーティングシステム、アプリケーションの各種領域に侵入する可能性があります。環境により、ウイルスは、ファイルウイルス、ブートウイルス、スクリプトウイルス、およびマクロウイルスに分けられます。
ウイルスはさまざまな技法を駆使してファイルを感染させます。上書きウイルスは、そのコードを、感染したファイルのコードに上書きして、そのファイルの内容を消去します。感染したファイルは機能しなくなり、復元できません。寄生ウイルスは、ファイルを変更しますが、ファイルが完全にまたは部分的に機能する状態を維持します。コンパニオンウイルスは、ファイルを変更しませんが、代わりに複製を作成します。感染したファイルが開かれると、ウイルスの複製(実際にはこれがウイルス)が起動します。他にも、次のような種別のウイルスが見つかっています:リンクウイルス、OBJ ウイルス、LIB ウイルス、ソースコードウイルスなど多数。
ワーム
古典的ウイルスのコードと同様に、ワームのコードは、コンピューターに侵入してから活動を開始し、悪意のある処理を実行します。ワームは、コンピューターから別のコンピューターに「這うように移動」し、ユーザーの許可なく多数のデータチャネルを経由してコピーを拡散させることから、この名が付けられました。
さまざまなワームの種類を区別する主な特徴は、その拡散方法です。次のテーブルに、拡散方法によって分類される各種ワームの概要を示します:
ワームの拡散方法
種別
|
Name
|
説明
|
メールワーム
|
メールワーム
|
これらのワームはメールを介して広がります。
感染したメールには、ワームのコピーを含んだ添付ファイル、あるいは感染した Web サイトまたは感染させる目的で作成された Web サイトにアップロードされるファイルへのリンクが含まれています。添付ファイルを開くと、ワームが起動します。リンクをクリックし、ファイルをダウンロードして開くと、ワームも悪意のある処理を実行し始めます。その後、ワームは他のメールアドレスを検索して、これらのアドレスに感染メールを送信しながら、自身のコピーを拡散し続けます。
|
IM ワーム
|
IM クライアントワーム
|
インスタントメッセージ(IM)クライアント経由で拡散します。
通常、このようなワームは、ユーザーの連絡先リストを使用して、ワームのコピーに感染した Web サイト上のファイルへのリンクを含んだメールを送信します。ユーザーがファイルをダウンロードして開くと、ワームが起動します。
|
IRC ワーム
|
インターネットチャットワーム
|
このワームはインターネットリレーチャット(インターネット上の別のユーザーとリアルタイムで通信できるサービスシステム)を介して拡散します。
この種のワームは、インターネットチャットで自身のコピーを含むファイルまたはそのファイルへのリンクを公開します。ユーザーがファイルをダウンロードして開くと、ワームが起動します。
|
インターネットワーム(Net-Worm)
|
ネットワークワーム
|
これらのワームは、コンピューターネットワークを介して広がります。
通常のネットワークワームは、他の種類のワームと異なり、ユーザーが参加していなくても拡散します。このワームはプライベートネットワークに、脆弱性のあるプログラムがインストールされたコンピューターがないか探します。この操作を行うために、このワームはワームコードまたはその一部を含む特別に形成されたネットワークパケット(エクスプロイト)を送信します。ネットワーク上に「脆弱な」コンピューターが存在すると、そのコンピューターはこのようなネットワークパケットを受信します。ワームが完全にコンピューターに侵入すると、ワームが起動します。
|
P2P ワーム
|
ファイル共有ネットワークワーム
|
peer-to-peer のファイル共有ネットワーク経由で拡散します。
P2P ネットワークに潜入するために、ワームはそれ自身をファイル共有フォルダーにコピーします。このフォルダーは通常、ユーザーのコンピューター上にあります。P2P ネットワークでは、ネットワーク上の感染したファイルをユーザーが他のファイルと同様に「見つけ」、このファイルをダウンロードして開くように、このファイルに関する情報が表示されます。
さらに巧妙なワームは特定の P2P ネットワークのネットワークプロトコルを装って検索クエリに肯定応答を返し、自身のコピーをダウンロードさせます。
|
ワーム
|
他の種類のワーム
|
他の種類のワームには、以下のものがあります:
- 自身のコピーをネットワークリソースを介して拡散するワーム。このようなワームは、オペレーティングシステムの機能を使って使用可能なネットワークフォルダーを検索し、インターネット上のコンピューターへ接続し、このコンピューターのディスクドライブへのフルアクセス権を取得しようと試みます。他の種類のワームは上記種類のワームとは異なり、自力で起動するのではなく、ユーザーがワームのコピーを含むファイルを開いたときに起動します。
- 上記のどの拡散方法も使用しないワーム(携帯電話を通じて拡散するワームなど)。
|
- トロイの木馬(ランサムウェアを含む)
サブカテゴリ:トロイの木馬
危険度:高
ワームやウイルスとは異なり、トロイの木馬は自己複製しません。たとえば、ユーザーが感染している Web サイトにアクセスすると、トロイの木馬はメールやブラウザーからコンピューターに侵入します。トロイの木馬は、ユーザーの関与によって起動します。起動直後に、悪意のある処理を実行し始めます。
トロイの木馬は多種多様で、感染コンピューター上でのふるまいも多岐にわたります。トロイの木馬の主な機能は、情報のブロック、改変、破壊、およびコンピューターまたはネットワークの無効化です。また、トロイの木馬はファイルの送受信、ファイルの実行、画面上へのメッセージの表示、Web サイトの要求、プログラムのダウンロードとインストール、コンピューターの再起動を行うこともできます。
多くの場合、ハッカーはトロイの木馬の「セット」を使用します。
次のテーブルでは、トロイの木馬における動作の種類について説明します。
感染コンピューターにおけるトロイの木馬の動作種類
種別
|
Name
|
説明
|
Trojan-ArcBomb
|
トロイの木馬 - 「圧縮爆弾」
|
このアーカイブは、解凍するとコンピューターの動作に影響を与える程度のサイズにまで膨張します。
ユーザーがこのようなアーカイブを解凍しようとすると、コンピューターは処理速度が低下したりフリーズしたりすることがあります。また、ハードディスクが「空の」データで満杯になることがあります。「圧縮爆弾」は、特にファイルサーバーやメールサーバーにとって危険です。サーバーが自動システムを使用して受信情報を処理すると、「圧縮爆弾」によってサーバーが停止することがあります。
|
バックドア
|
リモート管理用のトロイの木馬
|
このプログラムは、トロイの木馬の中でも最も危険なものと考えられます。機能面で、コンピューターにインストールされるリモート管理アプリケーションに似ています。
これらのプログラムは、ユーザーに気付かれずにコンピューターにインストールされるので、侵入者はコンピューターを遠隔管理できます。
|
トロイの木馬
|
トロイの木馬
|
トロイの木馬には、次のような悪意のあるアプリケーションがあります:
- 古典的なトロイの木馬:これらのプログラムはトロイの木馬の主な機能(情報のブロック、改変または破壊、およびコンピューターまたはネットワークの無効化)のみを実行し、テーブルに示す他の種類のトロイの木馬とは異なり、高度な機能を持っていません。
- 多目的なトロイの木馬:これらのプログラムは、数種類のトロイの木馬に特徴的な先進機能を備えています。
|
Trojan-Ransom
|
トロイの木馬型ランサムウェア
|
このプログラムは、ユーザーの情報を「人質」にとって改変したり、ブロックしたりします。また、ユーザーが情報を使用する能力を喪失するように、コンピューターの動作に影響を与えます。侵入者は、コンピューターのパフォーマンスと保存されていたデータを復元するアプリケーションを送るという約束と引き替えに、ユーザーから身代金を要求します。
|
Trojan-Clicker
|
トロイの木馬クリッカー
|
このプログラムは、ブラウザーにコマンドを送信するか、オペレーティングシステムファイルで指定されている Web アドレスを変更することによって、ユーザーのコンピューターから Web サイトにアクセスします。
侵入者はこのようなプログラムを使用することによって、ネットワーク攻撃を行って Web サイトのアクセス数を増やし、バナー広告の表示回数を増やします。
|
Trojan-Downloader
|
トロイの木馬ダウンローダー
|
これは侵入者の Web サイトにアクセスして、そこから他の悪意のあるアプリケーションをダウンロードし、ユーザーのコンピューターにインストールします。このプログラムには、悪意のあるアプリケーションをダウンロードまたは受信するためにアクセスした Web サイトのファイル名が含まれていることがあります。
|
Trojan-Dropper
|
トロイの木馬ドロッパー
|
このプログラムは他のトロイの木馬を内包しており、この内包されたプログラムがハードディスクにインストールされ、実行されます。
侵入者は、トロイの木馬ドロッパー型プログラムを次のような目的で使用することがあります:
- ユーザーに気付かれずに悪意のあるプログラムをインストールする:トロイの木馬ドロッパー型プログラムは、メッセージを表示しないか、たとえば、アーカイブ中にエラーが発生したことやオペレーティングシステムが互換性のないバージョンであることを示すといった偽のメッセージを表示します。
- 既知の悪意のある別のアプリケーションが検知されないようにする:すべてのアンチウイルスのソフトウェアがトロイの木馬ドロッパー型アプリケーション内の悪意のあるアプリケーションを検知できるわけではありません。
|
Trojan-Notifier
|
トロイの木馬型ノーティファイア
|
このプログラムは、感染したコンピューターにアクセスできることを侵入者に教えるため、コンピューターの次のような情報を侵入者に送信します:IP アドレス、開いているポートの番号、メールアドレスなど。このプログラムはこれらの情報をメール、FTP、侵入者の Web サイトへのアクセス、あるいはこれら以外の方法で侵入者に送ります。
トロイの木馬型ノーティファイアプログラムは、多くの場合、複数のトロイの木馬からなるセットとして使用されます。また、このプログラムはトロイの木馬がユーザーのコンピューターにインストールされたことを侵入者に知らせます。
|
Trojan-Proxy
|
トロイの木馬型プロキシ
|
これらのトロイの木馬により、侵入者は、ユーザーのコンピューターを使って匿名で Web サイトにアクセスします。このトロイの木馬はスパムの送信によく利用されます。
|
Trojan-PSW
|
パスワード窃盗ソフトウェア
|
パスワード窃盗ソフトウェアは、ソフトウェア登録データなどのユーザーアカウントを盗むトロイの木馬の一種です。このトロイの木馬はシステムファイルおよびレジストリ内の機密データを見つけ、そのデータを「攻撃者」にメールや FTP で送信する、あるいは侵入者の Web サイトにアクセスするなどによって送信します。
これらのトロイの木馬のうち、いくつかがこのテーブルに示す種類に分類されます。これらは、銀行のアカウント情報(Trojan-Banker)、メッセンジャークライアントのユーザーのデータ(Trojan-IM)、およびオンラインゲームのユーザーの情報(Trojan-GameThief)を盗むトロイの木馬です。
|
Trojan-Spy
|
スパイウェア型トロイの木馬
|
このトロイの木馬はコンピューター上で動作しながら、ユーザーが行う処理に関する情報を収集して、ユーザーの行動を秘密裏に監視します。このトロイの木馬は、ユーザーがキーボードで入力するデータの傍受、スクリーンショットの撮影、あるいはアクティブなアプリケーションのリストの収集などを行うことがあります。このプログラムが情報を入手すると、その情報をメールや FTP で送信する、あるいは侵入者の Web サイトにアクセスするなどによって侵入者に転送します。
|
Trojan-DDoS
|
トロイの木馬ネットワークアタッカー
|
このプログラムは、ユーザーのコンピューターから大量の要求をリモートサーバーに送ります。サーバーは、要求を処理するためのリソースが不足するので、機能を停止します(サービス妨害攻撃、または DoS 攻撃)。ハッカーは、1 台のサーバーを多数のコンピューターから同時に攻撃できるように、このプログラムを利用して多数のコンピューターを感染させることがあります。
DoS プログラムは 1 台のコンピューターから、ユーザーに気付かれることなく攻撃を実行します。DDoS(分散 DoS)プログラムは、感染したコンピューターのユーザーに気付かれずに、複数のコンピューターから分散して攻撃を行います。
|
Trojan-IM
|
メッセンジャークライアントのユーザーから情報を盗むトロイの木馬
|
このトロイの木馬は、メッセンジャークライアントのユーザーのアカウント番号とパスワードを盗みます。このプログラムは、データをメールや FTP で送信する、あるいは侵入者の Web サイトにアクセスするなどによって侵入者に転送します。
|
ルートキット
|
ルートキット
|
ルートキットは、他の悪意のあるアプリケーションやその活動を隠蔽します。そのため、このアプリケーションはオペレーティングシステムに長期間潜入します。また、ルートキットはファイル、感染しているコンピューターのメモリ内のプロセス、または悪意のあるアプリケーションを実行するレジストリキーを隠蔽することもできます。さらにルートキットは、ユーザーのコンピューターにインストールされているアプリケーションとネットワーク上の他のコンピューターにインストールされているアプリケーションの間で行われるデータ交換を隠蔽できます。
|
Trojan-SMS
|
SMS メッセージ形式のトロイの木馬
|
このトロイの木馬は携帯電話を感染させ、高額の通話料が発生する電話番号に SMS メッセージを送信します。
|
Trojan-GameThief
|
オンラインゲームのユーザーから情報を盗むトロイの木馬
|
このトロイの木馬は、オンラインゲームのユーザーのアカウント情報を盗み、このデータを侵入者にメールや FTP で送信するか、侵入者の Web サイトにアクセスするなどによって送信します。
|
Trojan-Banker
|
銀行のアカウント情報を盗むトロイの木馬
|
このトロイの木馬は、銀行のアカウント情報や電子マネーシステムのデータを盗み、このデータをメールや FTP を使用して侵入者に送信するか、侵入者の Web サイトにアクセスするなどして送信します。
|
Trojan-Mailfinder
|
メールアドレスを収集するトロイの木馬
|
このトロイの木馬は、コンピューターに保存されているメールアドレスを収集し、侵入者にメールや FTP で送信するか、侵入者の Web サイトにアクセスするなどによって送信します。侵入者が収集したアドレスにスパムを送信することがあります。
|
- 悪意のあるツール
サブカテゴリ:悪意のあるツール
危険度:中
悪意のあるツールは、他の種類のマルウェアとは異なり、起動した直後に処理を実行しません。このプログラムはユーザーのコンピューターに安全に侵入し、そこで起動することができます。侵入者は、多くの場合、悪意のあるツールの機能を悪用して、ウイルス、ワーム、トロイの木馬を作成したり、リモートサーバーに対してネットワーク攻撃を仕掛けたりします。
悪意のあるツールのさまざまな機能を、次のテーブルに示す種類別に分類しています:
悪意のあるツールの機能
種別
|
Name
|
説明
|
コンストラクター
|
コンストラクター
|
このツールを使用して、新しいウイルス、ワームおよびトロイの木馬を作成します。一部のコンストラクターは標準的なウィンドウベースのインターフェイスを備えています。このインターフェイスでは、悪意のあるアプリケーションの種類を選択して、デバッガを無効にする手段やその他の機能を作成できます。
|
Dos
|
ネットワーク攻撃
|
このプログラムは、ユーザーのコンピューターから大量の要求をリモートサーバーに送ります。サーバーは、要求を処理するためのリソースが不足するので、機能を停止します(サービス妨害攻撃、または DoS 攻撃)。
|
エクスプロイト
|
エクスプロイト
|
エクスプロイトは、処理されるアプリケーションの脆弱性を利用する一連のデータまたはプログラムコードで、コンピューター上で悪意のある処理を実行します。たとえば、エクスプロイトは、ファイルの書き込みまたは読み取り、あるいは「感染している」Web サイトの要求を行うことができます。
それぞれのエクスプロイトは、さまざまなアプリケーションまたはネットワークサービスの脆弱性を利用します。ネットワークパケットに偽装したエクスプロイトは、ネットワーク経由で多数のコンピューターに送信され、脆弱なネットワークサービスを備えるコンピューターを探します。DOC ファイルのエクスプロイトは、テキストエディターの脆弱性を利用します。このエクスプロイトは、ユーザーが感染したファイルを開いたときに、ハッカーが事前にプログラミングした処理を開始することがあります。メールに組み込まれたエクスプロイトは、メールクライアントの脆弱性を探します。このエクスプロイトは、ユーザーがメールクライアントの感染メールを開くとすぐに悪意のある処理を実行します。
エクスプロイトを使用してネットワーク上に拡散するのがネットワームです。ヌーカー型エクスプロイトは、コンピューターを無効にするネットワークパケットです。
|
FileCryptor
|
エンクリプター
|
このプログラムは、他の悪意のあるアプリケーションを暗号化してアンチウイルス製品から隠蔽します。
|
Flooder
|
ネットワークを「汚染する」ためのプログラム
|
このプログラムは大量のメールをネットワークチャネル上に送信します。この種のツールには、インターネットリレーチャットなどを汚染するプログラムがあります。
Flooder 型ツールには、メール、IM クライアントおよびモバイル通信システムで使用されるチャネルを「汚染する」プログラムは含まれません。これらのプログラムは、テーブルに示す別種(Email-Flooder、IM-Flooder および SMS-Flooder)として区別されます。
|
HackTool
|
ハッキングツール
|
このプログラムは、たとえば、ユーザーの許可なしに新しいシステムアカウントを追加したり、システムログを消去してオペレーティングシステムにおける存在の痕跡を隠蔽したりすることによって、このプログラムがインストールされたコンピューターをハッキングすることや別のコンピューターを攻撃することを可能にします。この種のツールには、パスワードの傍受などの悪意のある機能を特徴とする一部のスニファーが含まれます。スニファーは、ネットワークトラフィックの監視を可能にするプログラムです。
|
Hoax
|
デマウイルス
|
このプログラムはウイルスメッセージに似たメッセージでユーザーに注意を喚起します。具体的には、感染していないファイルで「ウイルスを検知した」というメッセージや、実際にはディスクのフォーマットが発生しなかったのに、ディスクがフォーマットされたというメッセージを表示します。
|
スプーファ
|
スプーフィングツール
|
このツールは、メッセージ要求やネットワーク要求を送信者の偽装アドレスで送信します。たとえば、侵入者はスプーファ型のツールを使用して、ツール本体をメールの実際の送信者として渡します。
|
VirTool
|
悪意のあるアプリケーションを改変するツール
|
このツールを使用すると、他のマルウェアを改変して、アンチウイルス製品から隠蔽することができます。
|
Email-Flooder
|
メールアドレスを「汚染する」プログラム
|
このプログラムはさまざまなメールアドレスに大量のメールを送信して、これらのメールアドレスを「汚染」します。大量の受信メールによって、ユーザーは必要なメールを受信ボックスで表示できなくなります。
|
IM-Flooder
|
メッセンジャークライアントのトラフィックを「汚染する」プログラム
|
IM クライアントのユーザーをメッセージであふれさせます。大量のメールが送られてくるため、ユーザーは必要な受信メールを表示できなくなります。
|
SMS-Flooder
|
トラフィックを SMS メッセージで「汚染する」プログラム
|
このプログラムは携帯電話に大量の SMS メッセージを送信します。
|
- アドウェア
サブカテゴリ:広告ソフトウェア(アドウェア)
危険度:中
アドウェアはユーザーに対して広告情報を表示します。アドウェアは、他のプログラムのインターフェイスにバナー広告を表示して、検索クエリを広告 Web サイトにリダイレクトします。このようなプログラムには、ユーザーに関するマーケティング情報を収集し、それを開発者に送信するものがあります。この情報には、ユーザーが表示した Web サイトの名前や、ユーザーの検索の内容などが含まれます。スパイウェア型のトロイの木馬とは異なり、アドウェアは、このような情報をユーザーの同意を得てから開発者に送ります。
- オートダイヤラー
サブカテゴリ:ユーザーに損害を与える目的で悪用される可能性がある合法的なソフトウェア。
危険度:中
これらのアプリケーションのほとんどが有用なものであるため、多くのユーザーが実行しています。これらのアプリケーションには、IRC クライアント、オートダイヤラー、ファイルダウンロードプログラム、コンピューターシステム動作モニター、およびパスワードユーティリティや、FTP、HTTP、および Telnet 用のインターネットサーバーなどがあります。
ただし、侵入者がこれらのプログラムにアクセスした場合やユーザーのコンピューターにこれらのプログラムを仕掛けた場合、アプリケーションの機能の一部がセキュリティを侵害するために利用されることがあります。
これらのアプリケーションは機能によって異なります。次のテーブルに、これらのアプリケーションの種類を示します:
種別
|
Name
|
説明
|
Client-IRC
|
インターネットチャットクライアント
|
これらのプログラムは、ユーザーがインターネットリレーチャットで人々と会話するためにインストールします。侵入者は、マルウェアを拡散させるためにこのプログラムを使用します。
|
ダウンローダー
|
ダウンロード用プログラム
|
これらのプログラムは、Web サイトからファイルをひそかにダウンロードできます。
|
モニター
|
監視用プログラム
|
このプログラムは、インストールされているコンピューター上のアクティビティを監視します(どのアプリケーションがアクティブであるか、他のコンピューターにインストールされているアプリケーションとどのようにデータをやり取りしているかを監視する)。
|
PSWTool
|
パスワード不正取得ツール
|
このツールは、忘失したパスワードを表示して復元します。侵入者は、これと同じ目的でこのツールをユーザーのコンピューターにひそかに埋め込みます。
|
RemoteAdmin
|
リモート管理プログラム
|
このプログラムはシステム管理者の中で広く使用されています。このプログラムを使用すると、リモートコンピューターのインターフェイスにアクセスして、そのコンピューターの監視および管理を行うことができます。侵入者も、リモートコンピューターを監視および管理することを目的として、このプログラムをユーザーのコンピューターにひそかに埋め込みます。
合法的なリモート管理プログラムは、リモート管理用のバックドア型トロイの木馬と異なります。トロイの木馬は単独でオペレーティングシステムに侵入して、自身をインストールすることができますが、合法的なプログラムでは、このような動作は不可能です。
|
Server-FTP
|
FTP サーバー
|
このプログラムは FTP サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、FTP 経由でコンピューターへのリモートアクセスを開きます。
|
Server-Proxy
|
プロキシサーバー
|
このプログラムはプロキシサーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込んで、そのユーザーの名前でスパムを送信します。
|
Server-Telnet
|
Telnet サーバー
|
このプログラムは Telnet サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、Telnet 経由でコンピューターへのリモートアクセスを開きます。
|
Server-Web
|
Web サーバー
|
このプログラムは Web サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、HTTP 経由でコンピューターへのリモートアクセスを開きます。
|
RiskTool
|
ローカルコンピューターで動作するツール
|
このプログラムは、ユーザーのコンピューターで動作中に、ユーザーに追加オプションを提供します。このツールを使用すると、ユーザーはアクティブなアプリケーションのファイルやウィンドウを非表示にしたり、アクティブなプロセスを終了したりできます。
|
NetTool
|
ネットワークツール
|
このプログラムは、ネットワーク上の他のコンピューターで動作しているときに、ユーザーに追加のオプションを提供します。このようなツールは、コンピューターを再起動して、開いているポートを検知し、コンピューターにインストールされているアプリケーションを起動することできます。
|
Client-P2P
|
P2P ネットワーククライアント
|
このプログラムはピアツーピアネットワークで動作できます。また、侵入者がマルウェア拡散のためにこのプログラムを使用する場合があります。
|
Client-SMTP
|
SMTP クライアント
|
このプログラムは、ユーザーが知らないうちにメールを送信します。侵入者は、このプログラムをユーザーのコンピューターに埋め込んで、そのユーザーの名前でスパムを送信します。
|
WebToolbar
|
Web ツールバー
|
このツールは、検索エンジンを使用するためのツールバーを他のアプリケーションのインターフェイスに追加します。
|
FraudTool
|
擬似プログラム
|
このプログラムは、そのプログラム自体を他のプログラムとして渡します。たとえば、マルウェアが検知されたというメッセージを表示する擬似アンチウイルスプログラムがあります。しかし、実際には、何も検知または駆除しません。
|
- ユーザーに損害を与える目的で悪用される可能性がある正規のソフトウェア
サブカテゴリ:ユーザーに損害を与える目的で悪用される可能性がある合法的なソフトウェア。
危険度:中
これらのアプリケーションのほとんどが有用なものであるため、多くのユーザーが実行しています。これらのアプリケーションには、IRC クライアント、オートダイヤラー、ファイルダウンロードプログラム、コンピューターシステム動作モニター、およびパスワードユーティリティや、FTP、HTTP、および Telnet 用のインターネットサーバーなどがあります。
ただし、侵入者がこれらのプログラムにアクセスした場合やユーザーのコンピューターにこれらのプログラムを仕掛けた場合、アプリケーションの機能の一部がセキュリティを侵害するために利用されることがあります。
これらのアプリケーションは機能によって異なります。次のテーブルに、これらのアプリケーションの種類を示します:
種別
|
Name
|
説明
|
Client-IRC
|
インターネットチャットクライアント
|
これらのプログラムは、ユーザーがインターネットリレーチャットで人々と会話するためにインストールします。侵入者は、マルウェアを拡散させるためにこのプログラムを使用します。
|
ダウンローダー
|
ダウンロード用プログラム
|
これらのプログラムは、Web サイトからファイルをひそかにダウンロードできます。
|
モニター
|
監視用プログラム
|
このプログラムは、インストールされているコンピューター上のアクティビティを監視します(どのアプリケーションがアクティブであるか、他のコンピューターにインストールされているアプリケーションとどのようにデータをやり取りしているかを監視する)。
|
PSWTool
|
パスワード不正取得ツール
|
このツールは、忘失したパスワードを表示して復元します。侵入者は、これと同じ目的でこのツールをユーザーのコンピューターにひそかに埋め込みます。
|
RemoteAdmin
|
リモート管理プログラム
|
このプログラムはシステム管理者の中で広く使用されています。このプログラムを使用すると、リモートコンピューターのインターフェイスにアクセスして、そのコンピューターの監視および管理を行うことができます。侵入者も、リモートコンピューターを監視および管理することを目的として、このプログラムをユーザーのコンピューターにひそかに埋め込みます。
合法的なリモート管理プログラムは、リモート管理用のバックドア型トロイの木馬と異なります。トロイの木馬は単独でオペレーティングシステムに侵入して、自身をインストールすることができますが、合法的なプログラムでは、このような動作は不可能です。
|
Server-FTP
|
FTP サーバー
|
このプログラムは FTP サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、FTP 経由でコンピューターへのリモートアクセスを開きます。
|
Server-Proxy
|
プロキシサーバー
|
このプログラムはプロキシサーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込んで、そのユーザーの名前でスパムを送信します。
|
Server-Telnet
|
Telnet サーバー
|
このプログラムは Telnet サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、Telnet 経由でコンピューターへのリモートアクセスを開きます。
|
Server-Web
|
Web サーバー
|
このプログラムは Web サーバーとして機能します。侵入者は、このプログラムをユーザーのコンピューターに埋め込み、HTTP 経由でコンピューターへのリモートアクセスを開きます。
|
RiskTool
|
ローカルコンピューターで動作するツール
|
このプログラムは、ユーザーのコンピューターで動作中に、ユーザーに追加オプションを提供します。このツールを使用すると、ユーザーはアクティブなアプリケーションのファイルやウィンドウを非表示にしたり、アクティブなプロセスを終了したりできます。
|
NetTool
|
ネットワークツール
|
このプログラムは、ネットワーク上の他のコンピューターで動作しているときに、ユーザーに追加のオプションを提供します。このようなツールは、コンピューターを再起動して、開いているポートを検知し、コンピューターにインストールされているアプリケーションを起動することできます。
|
Client-P2P
|
P2P ネットワーククライアント
|
このプログラムはピアツーピアネットワークで動作できます。また、侵入者がマルウェア拡散のためにこのプログラムを使用する場合があります。
|
Client-SMTP
|
SMTP クライアント
|
このプログラムは、ユーザーが知らないうちにメールを送信します。侵入者は、このプログラムをユーザーのコンピューターに埋め込んで、そのユーザーの名前でスパムを送信します。
|
WebToolbar
|
Web ツールバー
|
このツールは、検索エンジンを使用するためのツールバーを他のアプリケーションのインターフェイスに追加します。
|
FraudTool
|
擬似プログラム
|
このプログラムは、そのプログラム自体を他のプログラムとして渡します。たとえば、マルウェアが検知されたというメッセージを表示する擬似アンチウイルスプログラムがあります。しかし、実際には、何も検知または駆除しません。
|
- 悪意のあるコードを保護するために圧縮されている可能性があるオブジェクト
サブカテゴリ:損害を与える可能性がある圧縮ファイル
危険度:中
ファイルは、マルウェア(ウイルス、ワーム、トロイの木馬)の圧縮に使用される特殊なパッカーを使用して圧縮されます。Kaspersky Endpoint Security は、SFX(自己解凍形式)アーカイブ内に解凍モジュールがないかスキャンします。
マルウェアをアンチウイルスによる検知から隠すために、ハッカーは特殊なパッカーを使用してマルウェアを圧縮します。カスペルスキーのエキスパートは、ハッカーの間で最も使用されているパッカーを特定しています。
- 多重圧縮オブジェクト
サブカテゴリ:損害を与える可能性がある圧縮ファイル
危険度:中
ファイルは、マルウェア(ウイルス、ワーム、トロイの木馬)の圧縮に使用される特殊なパッカーを使用して圧縮されます。Kaspersky Endpoint Security は、SFX(自己解凍形式)アーカイブ内に解凍モジュールがないかスキャンします。
マルウェアをアンチウイルスによる検知から隠すために、ハッカーは特殊なパッカーを使用してマルウェアを圧縮します。カスペルスキーのエキスパートは、ハッカーの間で最も使用されているパッカーを特定しています。
|
除外リスト
|
このテーブルには、信頼するオブジェクトに関する情報が示されます。
次の方法を使用して、スキャンからオブジェクトを除外できます:
- ファイルまたはフォルダーへのパスを指定する
- オブジェクトハッシュを入力する
- マスクを使用する
- 「
* 」(アスタリスク)文字。「\ 」および「/ 」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の文字列に置き換えられます。たとえば、マスク「C:\*\*.txt 」は、C: ドライブ上のフォルダーにある拡張子が txt のすべてのファイルのパスを含みますが、サブフォルダーにあるファイルのパスは含みません。 - 2 つの連続した「
* 」(アスタリスク)文字。ファイル名またはフォルダー名内の、「\ 」および「/ 」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を含む任意の文字列に置き換えられます。たとえば、マスク「C:\Folder\**\*.txt 」は、「Folder 」フォルダーおよびそのサブフォルダーにある拡張子が txt のすべてのファイルのパスを含みます。このマスクは、1 つ以上のフォルダーの下に指定する必要があります。ドライブ直下での「C:\**\*.txt 」というマスクの指定は無効です。 - 「
? 」(クエスチョンマーク)。「\ 」および「/ 」(ファイルまたはフォルダーのパスにおけるファイル名またはフォルダー名の区切り文字)を除く任意の 1 文字に置き換えられます。たとえば、マスク「C:\Folder\???.txt 」は、「Folder 」フォルダーにある拡張子が txt でファイル名が 3 文字のすべてのファイルのパスを含みます。ファイルまたはフォルダーのパスにマスクを使用できます。たとえば、コンピューター上のすべてのユーザーアカウントを対象として[ダウンロード]フォルダーをスキャンする場合は、「C:\Users\*\Downloads\ 」と入力します。
Kaspersky Endpoint Security は環境変数をサポートしています。
Kaspersky Security Center コンソールを使用して除外リストを作成する際、環境変数「%userprofile% 」は Kaspersky Endpoint Security ではサポートされません。すべてのユーザーアカウントに入力を適用するには、「C:\Users\*\Documents\File.exe 」のように文字「* 」を使用できます。新しい環境変数を追加したら本製品を再起動する必要があります。
- 「ウイルス百科事典」の分類に従ってオブジェクト名を入力します(例:「
Email-Worm 」、「Rootkit 」、「RemoteAdmin 」)。任意の 1 文字を置き換える「? 」と複数の文字を置き換える「* 」を使用してマスクを使用することができます。たとえば、マスク「Client* 」を使用すると、「Client-IRC 」、「Client-P2P 」および「Client-SMTP 」がスキャンから除外されます。
信頼するオブジェクトの設定がコンソールで管理者によってブロックされている場合(「鍵が閉じた」シンボル)とローカルの信頼するオブジェクトが禁止されている場合([ローカルの除外リストの使用を許可する]チェックボックスがオフ)は、すべての信頼するオブジェクトのリストが製品のユーザーインターフェイスで非表示になります。
|
信頼するアプリケーション
|
このテーブルには、Kaspersky Endpoint Security の動作中にアクティビティが監視されない信頼するアプリケーションのリストが表示されます。
Kaspersky Endpoint Security は環境変数とマスクの入力時の文字「* 」および「? 」をサポートします。
Kaspersky Security Center console で信頼するアプリケーションのリストを作成する際、環境変数 %userprofile% は Kaspersky Endpoint Security ではサポートされません。すべてのユーザーアカウントに入力を適用するには、「C:\Users\*\Documents\File.exe 」のように文字「*」を使用できます。新しい環境変数を追加したら本製品を再起動する必要があります。
アプリケーションコントロールは、それぞれのアプリケーションが信頼するアプリケーションの表に含まれているかどうかに関係なく、アプリケーションの起動を制限します。
信頼するアプリケーションの設定が管理者によってコンソールでブロックされている場合(「鍵が閉じた」シンボル)とローカルの信頼するアプリケーションが禁止されている場合([ローカルの信頼するアプリケーションの使用を許可する]チェックボックスがオフ)は、すべての信頼するアプリケーションのリストが製品のユーザーインターフェイスで非表示になります。
|
継承時に値を統合する
(Kaspersky Security Center コンソール内でのみ利用可能)
|
Kaspersky Security Center の親ポリシーと子ポリシーのスキャンの除外リストと信頼するアプリケーションのリストを結合します。リストを結合するには、子ポリシーは Kaspersky Security Center の親ポリシーの設定を継承するよう設定されている必要があります。
チェックボックスがオンの場合、Kaspersky Security Center の親ポリシーのリスト項目は子ポリシー内で表示されます。このようにすることで、組織全体の信頼するアプリケーションのリストを作成することが可能です。
継承された子ポリシー内のリスト項目は削除または編集できません。継承時に結合されたスキャンの除外リストと信頼するアプリケーションのリストの項目は親ポリシー内でのみ削除および編集可能です。リストの項目は、下位のポリシーで追加、編集、削除が可能です。
子ポリシーと親ポリシーのリスト項目が一致する場合、これらの項目は親ポリシー内の同じ項目として表示されます。
このチェックボックスをオフにすると、リストの項目は Kaspersky Security Center ポリシーの設定の継承時に結合されません。
|
ローカルの除外リストの使用を許可する / ローカルの信頼するアプリケーションの使用を許可する
(Kaspersky Security Center コンソール内でのみ利用可能)
|
ローカルの除外リストとローカルの信頼するアプリケーションのリスト(ローカルの信頼ゾーン)とは、Kaspersky Endpoint Security で特定のコンピューターに向けてユーザーが定義したオブジェクトのリストです。Kaspersky Endpoint Security はローカルの信頼ゾーンのオブジェクトとアプリケーションを監視しません。これにより、ユーザーはポリシー内の信頼ゾーンの全体的なリストに加えて自分のローカルの除外リストと信頼するアプリケーションのリストを作成することができます。
チェックボックスがオンの場合、ユーザーはスキャンの除外リストと信頼するアプリケーションのリストをローカルに作成することができます。管理者は Kaspersky Security Center を使用してコンピューターのプロパティ内のリストの項目を表示、追加、変数または削除することができます。
チェックボックスがオフの場合、ユーザーはポリシー内で作成されたスキャンの除外リストと信頼するアプリケーションの全体的なリストのみにアクセスできます。
|
EDR テレメトリ
(Kaspersky Security Center コンソール内でのみ利用可能)
|
このテーブルには、EDR テレメトリの除外リストに関する情報が示されます。
|
信頼するシステム証明書ストア
|
信頼するシステム証明書ストアの 1 つが選択されている場合、Kaspersky Endpoint Security は信頼するデジタル署名を持つアプリケーションをスキャンから除外します。Kaspersky Endpoint Security はこのようなアプリケーションを信頼済みグループに割り当てます。
[使用しない]が選択されている場合、Kaspersky Endpoint Security はアプリケーションが署名されているかどうかにかかわらずスキャンします。Kaspersky Endpoint Security は、このアプリケーションがコンピューターに与える危険のレベルに応じて、アプリケーションを信頼グループに配置します。
|
ページのトップに戻る