TOP > FAQ> セキュリティ SuperShield

自作アプリケーションがホワイトリストへ自動登録されない

PC Maticは、クラウド上で多面的にセキュリティ監査を行います。ウイルスの疑いがある挙動を行うものなど、グレーゾーンのものはブラック判定され起動が許可されません。このため、以下の項目に注意され、アプリケーションを作り直して頂けますよう、お願い申し上げます。

  1. デジタル署名を行ってください

     Windowsアプリケーションの各ファイルに属性名(AssemblyProduct,AssemblyCompany,AssemblyVersionなど)は、必ず付与してください。Windows 10においてはデジタル署名は今後必須に近くなります。悪意あるアプリケーションは、デジタル署名がないため、署名なきアプリは徹底した監査を行う仕様になっています。
    またデジタル署名は、信頼のおける認証局にて発行してもらってください。過去、不正にデジタル署名を行った認識局のデジタル署名がBANされたこともあります。そのような認証局によるものはデジタル署名がないものとして処理されます。
    カタログ署名のManufacturer名を「Microsoft Corporation」としているケースも見受けられます。これは詐称として判定対象外や悪質判定となります。 【法人版】デジタル署名でホワイトリストへ包括 登録方法

  2. 開発ツールの標準設定でセキュリティホールがないか確認ください

    古い開発ツールを利用し続けると、その後に発見されたセキュリティホールを含んだアプリケーションが生成されることがあります。可能な限り最新の開発ツールや利用ツールのセキュリティ情報に注意を払ってください。

  3. 1日に数百回のバージョンアップをしないでください

    内容がほぼ同一のアプリケーションでありながら、MD5が変わるようにしたものを短時間に大量検知すると悪意あるアプリケーションであると判断します。総当たり攻撃がこのパターンを有しています。
    なお、短時間に連続してSuperShieldの監査処理にかけた場合、PC Maticの利用ライセンスがロックされ使用不能(常駐シールドアイコンが赤色)となることがあります。ロックされた場合は、サポートまでご連絡ください。

  4. 不必要なSetWindowsHookExを行わないでください

    悪意あるアプリケーションがSetWindowsHookExを利用しています。必要ない場合は、極力利用しないでください。

  5. 不必要な時刻参照は行わないでください

    タイマー起動の悪意あるアプリケーションが時刻参照を利用しています。必要ない場合は、極力利用しないでください。

  6. 不必要なGateway address参照は行わないでください

    標的型攻撃においてGateway address参照を行うものがあり、参照したアプリケーションは深いサンドボックス監査に回されます。

  7. キーボード、マウスの挙動監視は行わないでください

    キーボード、マウス(HID)の挙動監視を行う標的型攻撃が多く発見されていますので、まずは疑って監査を行う仕様となっています。

  8. 難読化(アプリケーションの暗号化)は行わないでください

    アプリケーションを暗号化し、リバースエンジニアリングをしにくくするサードパーティツールがあります。PC Maticでは、未知のアプリケーションを監査する際に、ディスアセンブルし、ディープラーニング技術を用いた類似コード分析により不正なコードが含まれていないかを分析しておりますが、暗号化によりこの監査が行えないため、監査に時間を要するようか、判断保留となります。これに加えて、サンドボックス上で不自然な通信やHIDの挙動監視などが確認された場合は、ほぼブラック判定とされウイルスと分類されます。

  9. 広告ポップアップ通知

    広告を表示して無償で有能なアプリケーションを提供するものではなく、悪意ある広告表示や、虚偽の内容を含むものをポップアップ通知した場合は、PUPとしてブラック判定され駆除対象となります。

  10. アンインストールできない仕様

    Windowsの標準機能でアンインストールできない仕様であるもの。サービスなどがアンインストール後も残存するもの、これらはPUPとしてブラック判定され駆除対象となります。

  11. ファイルサイズの小さな専用アンインストールラー

    プログラムファイルを削除するだけのデジタル署名がない、ファイルサイズの小さな実行ファイルに対し、AIはウイルスであるとの結果を出してしまう傾向があります。ウイルスの挙動に近いためです。このため、もし可能でしたら、「インストール」「修復」「アンインストール」を1つのアプリケーションに実装していただければ、お客様も利用しやすく、PC Maticのクラウド監査も誤診断しづらくなりますので、ご協力をお願い申し上げます。デジタル署名もお忘れなく。

  12. アプリケーションのMD5を自ら変更しないでください

    タイマーなどにより、実行可能ファイル自身のMD5が変更されるような変異を行わないでください。頻繁に変更することが検知されると、ポリモーフィック型ウイルスとして判定します。

  13. 更新を実行可能な差分ファイルで配信しないでください

    旧版を最新版にする差分(DIFF)をEXEにて配信しないでください。差分により他の実行可能ファイルを改竄するEXEは、ウイルスと認定されます。この方法はパソコン通信時代の技術であり昨今では危険な行為です。必要なファイルをそのまま差し替える仕組みで自動更新を行ってください。

  14. セキュリティソフトで通信内容をフックできない通信を行わないでください

    PC Matic SuperShieldに限らず、主要セキュリティソフトは通信内容をフックすることで不正な外部通信などを監視しています。ウイルスにはセキュリティソフトによる通信防御を阻止するため、フックさせないように工夫して通信を行うものが多くあります。このため、PC Matic SuperShieldはフック不可な通信に関し、全通信(IN/OUT)を遮断しています。

  15. LAN通信を外部へブリッジ通信しないでください。

    LANと外部ネットワークをブリッジする通信を実装しないでください。VPNなどを除き、主要ベンダー製品以外は原則してブラック判定を致します。

  16. 利用者の情報保護を念頭に外部通信してください

    個人情報(住所、電話番号、クレジットカード番号)、キーストロークなどをPlaintextで外部通信を行わないでください。その他、Microsoftによる「安全な Windows アプリの開発について」をお読みください。

  17. 外部ルーチンは、dllをご利用ください。

    EXEがEXEを呼び出すことを頻繁に行うアプリケーションは、高い確率で悪意があることが多いため、まずは疑って監査を行う仕様となっています。dllを利用してください。

  18. コマンドラインで実行可能ファイルをコールし外部送信

    コマンドラインなどで実行可能ファイルを呼び出し、特定ファイルを外部サーバへ送信する機能を実装しないでください。第三者がこの機能を利用できる仕様になっている場合も同様です。

  19. Windows Script Host(wsh), JavaScript(js)から実行可能ファイルをコールしないでください。

    スクリプトからの実行可能ファイルの呼び出しは、原則として拒絶されます。

戻る