PC Maticは、クラウド上で多面的に異なる分析手法を組み合わせてAI監査を行い最終的にマルウェア分析官に提示され最終判断されます。マルウェアの疑いがある挙動を行うものなど、グレーゾーンのものは起動が許可されません。このため、以下の項目に注意され、アプリケーションを作り直して頂けますよう、お願い申し上げます。
Windowsアプリケーションの各ファイルに属性名(AssemblyProduct,AssemblyCompany,AssemblyVersionなど)は、必ず付与してください。Windows 10においてはデジタル署名は今後必須に近くなります。悪意あるアプリケーションは、デジタル署名がないため、署名なきアプリは徹底した監査を行う仕様になっています。
またデジタル署名は、信頼のおける認証局にて発行してもらってください。過去、不正にデジタル署名を行った認識局のデジタル署名がBANされたこともあります。そのような認証局によるものはデジタル署名がないものとして処理されます。
カタログ署名のManufacturer名を「Microsoft Corporation」としているケースも見受けられます。これは詐称として判定対象外や悪質判定となります。
【法人版】デジタル署名でホワイトリストへ包括 登録方法
古い開発ツールを利用し続けると、その後に発見されたセキュリティホールを含んだアプリケーションが生成されることがあります。可能な限り最新の開発ツールや利用ツールのセキュリティ情報に注意を払ってください。
内容がほぼ同一のアプリケーションでありながら、ハッシュ値が異なるものを短時間に大量に検出すると悪意あるアプリケーションであると判断します。セキュリティソフトへのブルートフォース攻撃がこのパターンを有しています。
なお、短時間に連続してSuperShieldの監査処理にかけた場合、PC Maticの利用ライセンスがロックされ使用不能(常駐シールドアイコンが赤色)となることがあります。ロックされた場合は、サポートまでご連絡ください。
悪意あるアプリケーションがSetWindowsHookExを利用しています。必要ない場合は、極力利用しないでください。
タイマー起動の悪意あるアプリケーションが時刻参照を利用しています。必要ない場合は、極力利用しないでください。
標的型攻撃においてGateway address参照を行うものがあり、参照したアプリケーションは深いサンドボックス監査に回されます。
キーボード、マウス(HID)の挙動監視を行う標的型攻撃が多く発見されていますので、まずは疑って監査を行う仕様となっています。
アプリケーションを暗号化し、リバースエンジニアリングをしにくくするサードパーティツールがあります。PC Maticでは、未知のアプリケーションを監査する際に、ディスアセンブルし、ディープラーニング技術を用いた類似コード分析により不正なコードが含まれていないかを分析しておりますが、暗号化によりこの監査が行えないため、監査に時間を要するようか、判断保留となります。これに加えて、サンドボックス上で不自然な通信やHIDの挙動監視などが確認された場合は、ほぼブラック判定とされウイルスと分類されます。
広告を表示して無償で有能なアプリケーションを提供するものではなく、悪意ある広告表示や、虚偽の内容を含むものをポップアップ通知した場合は、PUPとしてブラック判定され駆除対象となります。
Windowsの標準機能でアンインストールできない仕様であるもの。サービスなどがアンインストール後も残存するもの、これらはPUPとしてブラック判定され駆除対象となります。
プログラムファイルを削除するだけのデジタル署名がない、ファイルサイズの小さな実行ファイルに対し、AIはマルウェアであるとのスコアを出してしまう傾向があります。ウイルスの挙動に近いためです。このため、もし可能でしたら、「インストール」「修復」「アンインストール」を1つのアプリケーションに実装していただければ、お客様も利用しやすく、PC Maticのクラウド監査も誤診断しづらくなりますので、ご協力をお願い申し上げます。デジタル署名もお忘れなく。
起動毎に実行可能ファイル自身のハッシュ値が変更されるような自己変異を行わないでください。改変が検出されると、ポリモーフィック型ウイルスとして判定します。
旧版を最新版にする差分(DIFF)をEXEにて配信しないでください。差分により他の実行可能ファイルを改竄するEXEは、ウイルスと認定されます。この方法はパソコン通信時代の技術であり昨今では危険な行為です。必要なファイルをそのまま差し替える仕組みで自動更新を行ってください。
PC Matic SuperShieldに限らず、主要セキュリティソフトは通信内容をフックすることで不正な外部通信などを監視しています。ウイルスにはセキュリティソフトによる通信防御を阻止するため、フックさせないように工夫して通信を行うものが多くあります。このため、PC Matic SuperShieldはフック不可な通信に関し、全通信(IN/OUT)を遮断しています。
LANと外部ネットワークをブリッジする通信を実装しないでください。VPNなどを除き、主要ベンダー製品以外は原則してブラック判定を致します。
個人情報(住所、電話番号、クレジットカード番号)、キーストロークなどをPlaintextで外部通信を行わないでください。その他、Microsoftによる「安全な Windows アプリの開発について」をお読みください。
EXEがEXEを呼び出すことを頻繁に行うアプリケーションは、高い確率でマルウェアであることが多いため、マルウェア分析官はマルウェアの嫌疑があると疑って時間をかけて調査します。dllを利用してください。
dllサイドローディングを防止するため、アプリケーションからdllを呼び出す際は、インストールディレクトリをフルパスで指定してdllを呼び出してください。dllサイドローディングを狙った仕様のアプリケーションは、NIST SP800-167準拠のため脆弱なアプリケーションとして起動保留処置がなされます。
コマンドラインなどで実行可能ファイルを呼び出し、特定ファイルを外部サーバへ送信する機能を実装しないでください。第三者がこの機能を利用できる仕様になっている場合も同様です。
Windows Script file(wsf), PowerShell スクリプト(ps1), JavaScript(js)などスクリプトからバイナリー形式などの実行可能ファイルの呼び出しは、原則として拒絶されます。これらはローカルホワイトリストへ追加することで利用可能となります。