PC Maticは、クラウド上で多面的に異なる分析手法を組み合わせてAI監査を行い最終的にマルウェア分析官に提示され最終判断されます。マルウェアの疑いがある挙動を行うものなど、グレーゾーンのものは起動が許可されません。このため、以下の項目に注意され、アプリケーションを作り直して頂けますよう、お願い申し上げます。
グローバル・ホワイトリストは、全世界の顧客で善良と確認済の実行可能ファイルとして共有されますが、利用者毎に利用可能なローカル・ホワイトリストへ追加することで起動許可を与えることが可能です。
Windowsアプリケーションの各ファイルに属性名(AssemblyProduct, AssemblyCompany, AssemblyVersionなど)は、必ず付与してください。現在Windows においてはドライバーへのデジタル署名は必須になっており、今後アプリケーションへはデジタル署名も須になる方向です。現在、一部のマルウェアはデジタル署名が付与されていますので、デジタル署名は必須です。これは「通知不可能」の電話を誰も取ることがないのと同じです。
またデジタル署名は、信頼のおける認証局にて発行してもらってください。過去、不正なデジタル署名を行った認識局(Symantec CA)の署名が追放されたことがあります。業界で追放された認証局による署名は、署名ないものとして処理されます。
AssemblyCompanyに「Microsoft Corporation」が記載されているケースが見受けられます。これは詐称として判定対象外や悪質判定となりますので正しく署名ください。
【法人版】デジタル署名でホワイトリストへ包括 登録方法
Visual C++ 2013以前で開発されたバイナリー形式は原則グローバル・ホワイトリストへ登録されません。古い開発ツールを利用し続けると、その後に発見されたセキュリティホールを含んだアプリケーションが生成されることがあります。可能な限り最新の開発ツールや利用ツールのセキュリティ情報に注意を払ってください。
VirusTotalにバイナリーファイルをアップロードし、「BEHAVIOR」タブにて「MITRE ATT&CK Tactics and Techniques」や「Sigma Rules」「IDS Rules」にて、過去サイバー攻撃に利用されたテクニックに該当していないか確認ください。これらに該当するものがある場合は、PC Maticの監査AIがマルウェア分析官に対し「リスクがある」とするため、最終的にマルウェア官によりマルウェア認定される可能性が高くなります。
内容がほぼ同一のアプリケーションでありながら、ハッシュ値が異なるものを短時間に大量に検出すると悪意あるアプリケーションである監査AIが判断し、マルウェア分析官に注意喚起します。セキュリティソフトへのブルートフォース攻撃がこのパターンを有しています。
なお、短時間に連続してSuperShieldの監査処理にかけた場合、PC Maticの利用ライセンスがロックされ使用不能(常駐シールドアイコンが赤色)となることがあります。ロックされた場合は、サポートまでご連絡ください。
悪意あるアプリケーションがSetWindowsHookExを利用しています。必要ない場合は、極力利用しないでください。
タイマー起動の悪意あるアプリケーションが時刻参照を利用しています。必要ない場合は、極力利用しないでください。
標的型攻撃においてGateway address参照を行うものがあり、参照したアプリケーションは深いサンドボックス監査に回されます。
キーボード、マウス(HID)の挙動監視を行う標的型攻撃が多く発見されていますので、まずは疑って監査を行う仕様となっています。
アプリケーションを暗号化し、リバースエンジニアリングをしにくくするサードパーティツールがあります。PC Maticでは、未知のアプリケーションを監査する際に、ディスアセンブルし、ディープラーニング技術を用いた類似コード分析により不正なコードが含まれていないかを分析しておりますが、暗号化によりこの監査が行えないため、監査に時間を要するようか、判断保留となります。これに加えて、サンドボックス上で不自然な通信やHIDの挙動監視などが確認された場合は、ほぼブラック判定とされウイルスと分類されます。
広告を表示して無償で有能なアプリケーションを提供するものではなく、悪意ある広告表示や、虚偽の内容を含むものをポップアップ通知した場合は、PUPとしてブラック判定され駆除対象となります。
Windowsの標準機能でアンインストールできない仕様であるもの。サービスなどがアンインストール後も残存するもの、これらはPUPとしてブラック判定され駆除対象となります。
プログラムファイルを削除するだけのデジタル署名がない、ファイルサイズの小さな実行ファイルは、高い確率で監査AIがマルウェアであるとのスコアを出してしまう傾向があります。一般的なマルウェアの挙動に酷似しているためです。このため、もし可能でしたら、「インストール」「修復」「アンインストール」を1つのアプリケーションに実装していただければ、お客様も利用しやすく、PC Maticのマルウェア分析官も誤監査しづらくなりますので、ご協力をお願い申し上げます。デジタル署名もお忘れなく。
起動毎に実行可能ファイル自身のハッシュ値が変更されるような自己変異を行わないでください。改変が検出されると、ポリモーフィック型ウイルスと判定します。
旧版を最新版にする差分(DIFF)をEXEにて配信しないでください。差分により他の実行可能ファイルを改竄するEXEは、ウイルスと認定されます。この方法はパソコン通信時代の技術であり昨今では危険な行為です。必要なファイルをそのまま差し替える仕組みで自動更新を行ってください。
PC Matic SuperShieldに限らず、主要セキュリティソフトは通信内容をフックすることで不正な外部通信などを監視しています。ウイルスにはセキュリティソフトによる通信防御を阻止するため、フックさせないように工夫して通信を行うものが多くあります。このため、PC Matic SuperShieldはフック不可な通信に関し、全通信(IN/OUT)を遮断しています。
LANと外部ネットワークをブリッジする通信を実装しないでください。VPNなどを除き、主要ベンダー製品以外は原則してブラック判定を致します。
個人情報(住所、電話番号、クレジットカード番号)、キーストロークなどをPlaintextで外部通信を行わないでください。その他、Microsoftによる「安全な Windows アプリの開発について」をお読みください。
EXEがEXEを呼び出すことを頻繁に行うアプリケーションは、高い確率でマルウェアであることが多いため、マルウェア分析官はマルウェアの嫌疑があると疑って時間をかけて調査します。dllを利用してください。
dllサイドローディングを防止するため、アプリケーションからdllを呼び出す際は、インストールディレクトリをフルパス指定しdllを呼び出してください。dllサイドローディングを狙った仕様のアプリケーションは、NIST SP800-167準拠のため脆弱なアプリケーションとして起動保留処置がなされます。
コマンドラインなどで実行可能ファイルを呼び出し、特定ファイルを外部サーバへ送信する機能を実装しないでください。第三者がこの機能を利用できる仕様になっている場合も同様です。
Windows Script file(wsf), PowerShell スクリプト(ps1), JavaScript(js)などスクリプトからWindows内部コマンドを指定し、dllなど様々な形式のバイナリーファイル実行は、デフォルト拒否にて実行が拒絶されます。これらはローカルホワイトリストへ追加することで利用可能となります。