McAfee 定義の隔離ルール |
説明 |
McAfee Default 推奨される調整済みのブロックセット |
McAfee Default セキュリティ推奨セットのブロック |
安全でないパスワード LM ハッシュへのアクセス
|
%WINDIR%\system32\config で SAM ファイルを保護します。Windows はこのファイルにパスワードを保存します。通常、プログラムはこのファイルにアクセスしません。
ベストプラクティス: 不正なプログラムまたは不正アクセス試行を監視するには、このルールをレポートのみ (デフォルト) に設定します。 |
|
|
ユーザー Cookie の場所へのアクセス |
%AppData%\Roaming and %AppData%\Local 内の Internet Explorer cookies フォルダーを変更から保護します。
ベストプラクティス: このルールをレポートのみ(デフォルト)に設定すると、含まれるプログラムによる Internet Explorer の Cookie へのアクセスを監視することができます。 |
|
|
別のプロセスへのメモリーの割り振り |
隔離されたプロセスがシステム上の他のプロセスのメモリーを変更できないようにします。 |
✔ |
✔ |
別のプロセスでのスレッドの作成 |
隔離されたプロセスがシステム上の他のプロセスのスレッドを作成または変更できないようにします。
|
✔ |
✔ |
ネットワーク上でのファイルの作成 |
隔離されたプロセスがネットワーク上でファイルを作成できないようにします。マルウェアは、これらの場所を使用して感染ファイルを散布する可能性があります。
ベストプラクティス: アウトブレイク時には、このルールをブロックとレポートに設定することで、感染を食い止めたり遅らせたりすることができます。 |
|
|
CD、フロッピー、リムーバブルドライブ上でのファイルの作成 |
隔離されたプロセスがリムーバブルデバイス上でファイルを作成できないようにします。マルウェアは、これらのデバイスを使用して拡散を試みます。
ベストプラクティス: アウトブレイク時には、このルールをブロックとレポートに設定することで、感染を食い止めたり遅らせたりすることができます。 |
|
|
.bat 拡張子を持つファイルの作成 |
含まれるプロセスが .bat 拡張子を持つファイルを作成しないようにします。
バッチファイルが管理目的で使用されている場合、このルールをブロックに設定すると、誤検知が発生し、ビジネス操作に影響を及ぼす可能性があります。
ベストプラクティス: バッチファイルがシステムの管理に使用されていない場合、このルールをブロックして報告するように設定します。この設定を行うと、スクリプトエンジンが実行されるスクリプトがマルウェアで作成されなくなります。 |
|
✔ |
.exe 拡張子を持つファイルの作成 |
含まれるプロセスが .exe 拡張子を持つファイルを作成しないようにします。このルールは、マルウェアによるシステム上での実行ファイルの作成を阻止します。
このルールで発生しうる典型的な「誤ったブロック」には、ユーザーが WinZip を定期的に更新している場合の WinZip 、および一部のインストーラーとアンインストーラーが含まれる場合があります。ブロックを有効にする前に、GetClean を実行してください。このルールをさらに調整するには、DAC グローバル除外を使用します。 |
|
✔ |
.html、.jpg、 .bmp の拡張子を持つファイルの作成 |
含まれるプロセスが .html 、 .jpg 、 .bmp の拡張子を持つファイルを作成しないようにします。マルウェアがこれらの拡張子のファイルを乗っ取り、ユーザーを騙してペイロードを実行させようとすることがあります。
ベストプラクティス: ウイルスの発生時に、このルールをブロックして報告し、感染を阻止または低下させようとすることができます。 |
|
|
.job 拡張子付きのファイルの作成 |
隔離されたプロセスがシステム上でスケジュールタスクを設定できないようにします。マルウェアは、動作分析のスキャナーを回避するため、スケジュールタスクを悪用します。 |
✔ |
✔ |
拡張子が .vbs であるファイルを作成する |
含まれるプロセスが .vbs 拡張子を持つファイルを作成するのを防ぎます。
.vbs ファイルを管理目的で使用する場合、このルールをブロックに設定すると、誤検出が発生し、業務に影響を与える可能性があります。
ベストプラクティス: .vbs ファイルがシステムの管理に使用されない場合、このルールをブロックして報告するように設定します。この設定を行うと、スクリプトエンジンが実行されるスクリプトがマルウェアで作成されなくなります。 |
|
|
新しい CLSIDs 、 APPIDs 、および TYPELIBs を作成しています。 |
含まれるプロセスで Class IDs 、 App IDs 、 TypeLIBs が作成されないようにする。レジストリのこれらの場所が新しいファイル タイプの登録に使用され、マルウェアの入り口として悪用される可能性があります。
ベストプラクティス: アウトブレイク時には、このルールをブロックとレポートに設定することで、感染を食い止めたり遅らせたりすることができます。 |
|
|
ランサムウェアがよく狙うファイルの削除 |
隔離されたプロセスがランサムウェアの標的となるファイルを削除できないようにします。ランサムウェアは、ファイルをメモリー内に読み込み、コンテンツを新しいファイルに書き出して暗号化し、元のファイルを削除することがあります。
一般に、ランサムウェア対策は、暗号化対象のファイルを直接変更しようとしません。その代わり、explorer.exe や powershell.exe のようなシステム上に既にあるプロセスを使用して、攻撃の代理を行います。攻撃がある程度ブロックされると、ファイルを直接暗号化しようとする可能性もあります。 |
✔ |
✔ |
重要なオペレーティングシステムの実行ファイルの無効化 |
含まれるプロセスが regedit やタスクマネージャーを無効化し、管理者がこれらのツールにアクセスするのを制限するのを防ぎます。 |
✔ |
✔ |
任意の子プロセスの実行 |
隔離されたプロセスがシステム上で子プロセスを実行できないようにします。
ベストプラクティス: このルールをブロックに設定する前に、GetClean を実行してください。 |
|
✔ |
Appinit DLL レジストリエントリの変更 |
含まれるプロセスが appinit レジストリの場所にエントリを追加するのを防ぎます。
システム上のユーザーモードプロセスは、 appinit レジストリの場所にある任意のエントリをロードすることができます。マルウェアはこのプロセスを悪用してペイロードを挿入しようとします。 |
✔ |
✔ |
アプリケーション互換性 Shim の変更 |
隔離されたプロセスによるアプリケーション互換性 Shim の作成を阻止します。マルウェアは、この技術を悪用して攻撃対象のプロセスと同じ権限を取得し、シェルコードを挿入しようとします。 |
✔ |
✔ |
重要な Windows ファイルとレジストリの場所の変更 |
含まれるプロセスによって、 hosts ファイル、 WINLOGON レジストリの場所、セッションマネージャレジストリの場所など、重要なファイルやレジストリの場所が変更されないようにします。
ベストプラクティス: アウトブレイク時には、このルールをブロックとレポートに設定することで、感染を食い止めたり遅らせたりすることができます。 |
|
|
デスクトップ背景設定の変更 |
隔離されたプロセスによるデスクトップの壁紙や背景の変更を阻止します。マルウェアはこの技術を使用して、ユーザーを騙したり、ファイルを隠したり、ユーザーが他のものをクリックしていると考えるようにします。
ベストプラクティス: ウイルスの発生時に、このルールをブロックして報告し、感染を阻止または低下させようとすることができます。 |
|
|
ファイルと拡張子の関連付けの変更 |
隔離されたプロセスがファイル拡張子の関連付けをハイジャックしないようにします。マルウェアはこの技術を悪用して、ユーザーに不明なファイル タイプを実行させたり、不明なプログラムでファイルを実行させようとします。 |
|
✔ |
.bat 拡張子を持つファイルの修正 |
含まれるプロセスが .bat 拡張子を持つファイルを変更することを防ぎます。このルールを使用すると、オペレーティング システム上のスクリプト ファイルへのマルウェアの感染を阻止できます。
ベストプラクティス: ウイルスの発生時に、このルールをブロックして報告し、感染を阻止または低下させようとすることができます。 |
|
|
拡張子が .vbs であるファイルを修正する |
含まれるプロセスが .vbs 拡張子を持つファイルを変更することを防ぎます。このルールを使用すると、オペレーティング システム上のスクリプト ファイルへのマルウェアの感染を阻止できます。
ベストプラクティス: ウイルスの発生時に、このルールをブロックして報告し、感染を阻止または低下させようとすることができます。 |
|
|
Image File Execution Options レジストリ エントリの変更 |
隔離されたプロセスによる Image File Execution Options レジストリの変更を阻止します。マルウェアはこの技術を悪用して、プロセスの実行を乗っ取り、他のプロセスの実行を阻止しようとします。 |
✔ |
✔ |
移植可能な実行ファイルの変更 |
隔離されたプロセスがシステム上で移植可能な実行ファイルを変更できないようにします。ポータブル実行ファイルは、 .exe 、 .dll 、 .sys など、Windowsがネイティブに実行できるファイルです。 |
|
✔ |
スクリーン セーバーの設定の変更 |
隔離されたプロセスによるスクリーン セーバーの変更を阻止します。マルウェアはこの技術を悪用して、システムに不正なペイロードをドロップしようとします。 |
✔ |
✔ |
スタートアップのレジストリの場所の変更 |
隔離されたプロセスによる Windows スタートアップ レジストリの変更を阻止します。マルウェアは、Windows のスタートアップ レジストリの場所を悪用してペイロードを隠蔽したり、攻撃を実行しようとします。 |
✔ |
✔ |
自動デバッガーの変更 |
隔離されたプロセスによる自動デバッガーの変更または追加を阻止します。マルウェアは自動デバッガーを使用してプロセスの実行を乗っ取り、重要な情報を盗み出します。 |
|
|
隠し属性ビットの変更 |
隔離されたプロセスがシステム上のファイルの隠しビットを変更できないようにします。 |
✔ |
✔ |
読み取り専用属性ビットの変更 |
隔離されたプロセスがシステム上のファイルの読み取り専用ビットを変更できないようにします。 |
✔ |
✔ |
サービスのレジストリの場所の変更 |
隔離されたプロセスがシステム上でサービスの動作を変更できないようにします。 |
|
✔ |
Windows ファイアウォール ポリシーの変更 |
隔離されたプロセスがレジストリに保存されたファイアウォールポリシーを変更できないようにします。マルウェアは、Windows ファイアウォールを使用してシステムのセキュリティホールを攻撃しようとします。
ベストプラクティス: アウトブレイク時には、このルールをブロックとレポートに設定することで、感染を食い止めたり遅らせたりすることができます。 |
|
|
Windows タスクフォルダーの変更 |
隔離されたプロセスが Tasks フォルダーにタスクを作成したり、保存されたタスクを変更したりできないようにします。マルウェアはタスクを利用して、システムで不正なペイロードを実行しようとします。
ベストプラクティス: ウイルスの発生時に、このルールをブロックして報告し、感染を阻止または低下させようとすることができます。 |
|
|
ユーザー ポリシーの変更 |
隔離されたプロセスがグループ ポリシーの設定を変更できないようにします。マルウェアはこの技術を悪用してセキュリティ ポスチャを変更し、システムの脆弱性を攻撃しようとします。 |
|
✔ |
ユーザーのデータフォルダーの変更 |
隔離されたプロセスがユーザーの共通データフォルダーにあるファイルを変更または実行できないようにします。一般的なデータフォルダーは、デスクトップ、ダウンロード、ドキュメント、ピクチャーなど、マルウェアがランサムウェア攻撃で狙う AppData フォルダー内の場所です。
ベストプラクティス: ウイルスの発生時に、このルールをブロックして報告し、感染を阻止または低下させようとすることができます。
このルールを使用すると、隔離されたプログラムが不正なものかどうかによって、誤検知が発生する可能性があります。 |
|
|
ランサムウェアがよく狙うファイルの読み取り |
隔離されたプロセスがランサムウェアの標的となるファイルを読み取れないようにします。ランサムウェアは、ファイルをメモリー内に読み込み、コンテンツを新しいファイルに書き出して暗号化し、元のファイルを削除することがあります。
通常、ランサムウェアは、暗号化の対象となるファイルを直接変更しようとしません。その代わり、 explorer.exe 、 powershell.exe のようなシステム上に既にあるプロセスを使用して、攻撃の代理を行います。攻撃がある程度ブロックされると、ファイルを直接暗号化しようとする可能性もあります。 |
|
✔ |
別のプロセスのメモリからの読み取り |
隔離されたプロセスがシステム上の他のプロセスのメモリーを読み取れないようにします。このルールにより、標的となるプロセスに含まれる情報の窃盗を阻止することができます。 |
|
✔ |
ネットワーク上のファイルの読み取りまたは変更 |
隔離されたプロセスがネットワーク上のファイルを読み取ったり、変更したりできないようにします。マルウェアは、これらの場所を使用して感染ファイルを散布する可能性があります。
ベストプラクティス: アウトブレイク時には、このルールをブロックとレポートに設定することで、感染を食い止めたり遅らせたりすることができます。 |
|
|
CD、フロッピー、リムーバブルドライブ上のファイルの読み取りまたは変更 |
隔離されたプロセスがリムーバブルデバイス上のファイルを読み取ったり、変更したりできないようにします。マルウェアは、これらのデバイスを使用して拡散を試みます。
ベストプラクティス: アウトブレイク時には、このルールをブロックとレポートに設定することで、感染を食い止めたり遅らせたりすることができます。 |
|
|
プロセスの中断 |
隔離されたプロセスがシステム上の他のプロセスを中断できないようにします。マルウェアの中には、プロセスを一時停止させて、そのプロセスを乗っ取ったり、悪意のある目的のためにプロセスを空洞化させようとするものがあり、プロセスの空洞化とも呼ばれています。 |
✔ |
✔ |
別のプロセスの終了 |
隔離されたプロセスがシステム上の他のプロセスを停止できないようにします。 |
✔ |
✔ |
別のプロセスのメモリへの書き込み |
隔離されたプロセスがシステム上の他のプロセスのメモリー領域に書き込めないようにします。 |
✔ |
✔ |
ランサムウェアがよく狙うファイルへの書き込み |
隔離されたプロセスがランサムウェアの標的となるファイルを変更できないようにします。
通常、ランサムウェアは、暗号化の対象となるファイルを直接変更しようとしません。その代わり、 explorer.exe や powershell.exe など、すでにシステム上にあるプロセスを利用して、攻撃のプロキシを行います。攻撃がある程度ブロックされると、ファイルを直接暗号化しようとする可能性もあります。 |
|
✔ |