管理ポータルにて「通知」もしくは「SuperShieldログ」からローカル・ホワイトリストへ登録
SuperShieldによって起動阻止されたバイナリー形式のファイルを「通知」もしくは「SuperShieldログ」からお客様自身で登録頂けます。端末へは国際CDN回線を通じて即座に同期されます。
大手欧米ソフト会社によるゲームソフトに関しては、ファイルパス指定をご活用ください。
なお、PC Maticのマルウェア分析官によってマルウェアと判定済のものはローカル・ホワイトリストへ追加を行うことはできません。
日本の大手企業によって販社へ提供された業務アプリケーションにマルウェアが仕込まれているものを当社は、いくつか発見しています。海外オフショア開発によるものと推測されますが、日本側で詳細な検証が行われていないようです。大手企業からの提供ソフトウェアであっても、以下のVirusTotalによる判定を経てから追加ください。またマルウェアと思しいものは、配布元へ連絡してあげてください。
VirusTotalでの判定結果で赤色がいくつもある不明なソフトウェアの際は、PC Maticサポートまでご連絡ください。判定結果をメールにて解説させていただきます。
ローカル・ホワイトリストへ登録されたファイルは、即座に起動が可能となります。
管理ポータルより、ライセンス登録されているメールアドレスでログインをします。
【「通知」-「セキュリティ」より登録】
-
「通知」-「セキュリティ」タブを選択します。起動阻止されたファイルを確認します。
個人版では、起動阻止された端末を選択してから「通知」を選択します。
「説明」の項目にある「0x」から始まるクリック可能となっているハッシュ値を押し、VirusTotalへ飛び、後述の【ブラック判定を調査する:セカンドオピニオン】を行います。
-
VirusTotalにてマルウェアでないと判断できる場合は、「アクション」を押して、どのレベルでローカル・ホワイトリストを登録するか指定します。指定したファイルは、即座に端末に適用され起動できます。なお、PC Maticのマルウェア分析官によってマルウェアと判定済のものはローカル・ホワイトリストへ追加を行うことはできません。
【「SuperShieldログ」より登録】
-
起動阻止されたパソコンを選択し、「SuperShieldログ」タブを選択します。標準設定では、「起動の是非」が「しない」で起動阻止されたアプリケーションが絞込表示されています。
-
表示された一覧のチェック印にマウスオーバーすると「検知時」(起動を試みた際の状況)、「現在の監査状況」(クラウド上での現時点での監査判定状況)をご確認いただけます。
-
起動阻止され、 「unknown」とされた場合は、未監査ですので、このボタンを押します。
-
レベルをプルダウンし、該当パソコンのみか、自分が利用する全てのパソコンかを選択して「許可」を押します。自分専用のホワイトリストへ追加され、今後は起動が許可されます。
-
「アカウント設定」-「ローカルホワイトリスト」を押して自分専用の「ホワイトリスト管理」画面を表示します。
-
「ローカルホワイトリスト」に先程追加したアプリケーションのハッシュ部分をクリックすると、セカンドオピニオンとして利用を推奨している「VirusTotal」の該当ファイルに関するページへ直接アクセスされます。
-
他社セキュリティソフトがどのように分類しているかを調べます。「DETECTION」の項目にセキュリティ各社がどのように判定しているかが表示されます。
VirusTotalに参加しているセキュリティエンジンはNIST CMMC 標準レベルであるため、セキュリティ上の欠陥(脆弱性)は赤色で表示しません。サイバー攻撃ではセキュリティ上の欠陥を突いてパソコン内に侵入するため、セキュリティ上の欠陥を抱えているアプリケーション利用には危険が伴います。
PC Maticのマルウェア分析は、NIST ゼロトラスト・セキュリティモデルにて分類を行うため、セキュリティ上の深刻な欠陥を抱えるアプリケーションは起動許可されません。
赤色で表示された場合は、ウイルスであり実行すると危険なことがわかります。深刻なマルウェアでない場合、ほぼ全てのエンジンが緑色の健全である「undetected」と判定されます。
3つ以上のエンジンが赤色表示している場合は、セキュリティ上の欠陥、もしくは高度なマルウェアを含む可能性があります。「ローカルホワイトリスト」のリストから削除ください。
「アカウント設定」-「ローカルホワイトリスト」を押して自分専用の「ホワイトリスト管理」画面を表示します。
右枠を選択すると上に赤色で「ごみ箱」アイコンが現れます。押すことで起動許可したハッシュ値の情報が削除され、端末からリアルタイムでホワイトリストが解除されます。
-
「DETAILS」タブでは、どのWindows APIをコールしているか、読み込んだdllやプログラムに記載されている情報などが詳細に表示され、どのようなものであったかを把握するのに役立ちます。
History:の項目で、「First Submission」と記載されている日時が、このファイルが一番最初にVirusTotalにアップロードされた日付です。2009年以前のものはMicrosoftのコンバイラーに起因するセキュリティ上の欠陥を抱えています。
-
「BEHAVIOR」タブでは、Mitre ATT&CK Tactics and Techniquesなどによる、過去のサイバー攻撃に関する手法が組み込まれているファイルであるかの確認が行えます。
Activity Summaryに警告がでているものは、マルウェアの危険性があります。 「Activity Summary」にて、過去マルウェアが利用したハッキング手法に該当するものが、この実行ファイルに含まれている場合は表示されます。
下記事例では、Mitre SignatureにHIGHが1件含まれていますが、1件でもHIGHの扱いがあった場合は、マルウェアの可能性が高いと言えます。ブラックリストへ追加ください。Sigma Rulesも注意が必要です。
Dropped Filesは、展開されたファイルの情報になりますが、マルウェア展開されるとここに警告が表示されます。警告された場合は、マルウェアを展開するローダーという種類のマルウェアである可能性があります。
Network commsには、悪意あると識別されている既知のC&Cサーバー(マルウェアを展開させるなど実行指示をさせるサーバー)との通信があるかを警告します。
-
「RELATIONS」タブでは、通信先のDNSアドレス・IPアドレス、そして生成されたファイルが表示されます。
Contacted Domains:は、通信先のドメイン名で、赤色に表示されているドメイン名があれば、そこをクリックすると、どのセキュリティソフトが悪意あるドメインに指定しているかを知ることができます。
Contacted IP addresses:の項目で、赤色に表示されているIPアドレスがあれば、そのIPアドレスをクリックすると、どのセキュリティソフトが悪意あるIPアドレスであると指定しているか知ることができます。
