ウイルスおよびマルウェア対策保護の設定

ウイルスおよびマルウェア対策保護モジュールによる保護計画を作成する方法については、「保護計画の作成」を参照してください。

ウイルスおよびマルウェア対策保護モジュールでは、以下の機能を構成できます。

このセクションでは、サポートされているすべてのオペレーティングシステムで利用可能な設定について説明します。現在のワークロードに適用可能な機能については、オペレーティングシステムでサポートされているCyber Protect機能の表を確認してください(オペレーティングシステムでサポートされるCyber Protectの機能)。
適用されるライセンスモデルによっては、一部の機能で追加のライセンスが必要になる場合があります。

Active Protection

Active Protectionは、システムをランサムウェアと暗号通貨採掘マルウェアから保護します。ランサムウェアは、ファイルを暗号化し、暗号化キーのための身代金(ランサム)を要求します。暗号通貨採掘マルウェアはバックグラウンドで数学的計算を実行し、それにより処理能力とネットワークトラフィックを盗みます。

既定の設定:有効

Windowsの場合、Active Protectionは、以下のオペレーティングシステムを実行しているマシンで使用できます。

  • デスクトップオペレーティングシステム:Windows 7 Service Pack 1以降

    Windows 7を実行しているマシンでは、Windows 7用の更新プログラム(KB2533623)がインストールされていることを確認してください。

  • サーバーオペレーティングシステム:Windows Server 2008 R2以降

保護されているマシンには、Windowsエージェントがインストールされている必要があります。エージェントのバージョンは12.0.4290(2017年10月リリース)以降である必要があります。エージェントをアップデートする方法については、「エージェントのアップデート」を参照してください。

Linuxの場合、Active Protectionは、以下を実行しているマシンで使用できます。

  • CentOS 6.10、7.8および以降のマイナーバージョン

  • CloudLinux 6.10、7.8および以降のマイナーバージョン

  • Ubuntu 16.04.7および以降のマイナーバージョン

保護されているマシンには、Linuxエージェントがインストールされている必要があります。エージェントのバージョンは15.0.26077(2020年12月リリース)以降である必要があります。サポートされているLinuxカーネルのバージョンのリストについては、https://kb.acronis.com/acronis-cyber-protect-cloud-active-protection-for-linux-kernel-versionsを参照してください。

Active Protectionの設定

[検出時のアクション] で、ランサムウェアのアクティビティを検出したときに実行されるアクションを選択し、[完了] をクリックします。

次のいずれかを選択できます。

  • 通知のみ

    プロセスに関するアラートを生成します。

  • [プロセスの停止]

    アラートを生成し、プロセスを停止します。

  • [キャッシュを使用して元に戻す]

    アラートを生成し、プロセスを停止して、サービスキャッシュを使用してファイルの変更を元に戻します。

既定の設定:キャッシュを使用して元に戻す

高度なアンチマルウェア保護機能

この機能を利用できるかどうかは、現在のアカウントで有効になっているサービスクォータによって異なります。

Advancedマルウェア対策スイッチにより、ローカル署名ベースのエンジンを有効化します。このエンジンは、ウイルス署名の拡張データベースを使用して、クイックスキャンとフルスキャンの両方でマルウェア対策検出の効率を向上させます。

リアルタイム保護は、ローカル署名ベースのエンジンでのみ使用できます。

macOSおよびLinuxのウイルスおよびマルウェア対策保護には、ローカル署名ベースのエンジンも必要になります。Windowsのウイルスおよびマルウェア対策保護は、このエンジンの有無にかかわらず利用できます。

ネットワークフォルダの保護

[ローカルドライブとしてマッピングされているネットワークフォルダの保護] 設定では、Active Protectionによって、ローカルドライブとしてマッピングされているネットワークフォルダを有害なプロセスから保護するかどうかを定義します。

この設定は、SMBまたはNFSプロトコル経由で共有されているフォルダに適用されます。

ファイルが当初、マップされたドライブにあった場合、[キャッシュを使用して元に戻す] アクションによりキャッシュから抽出されたときには、元のロケーションに保存することはできません。その代わりに、この設定で指定するフォルダに保存されます。デフォルトのフォルダは、C:\ProgramData\Acronis\Restored Network Filesです。このフォルダが存在しない場合は、作成されます。このパスを変更する場合は、ローカルフォルダを指定してください。マッピングされているドライブを含むネットワークフォルダは、サポートされていません。

既定の設定:有効

サーバー側保護

この設定では、Active Protectionが、脅威を持ち込む可能性のあるネットワーク内の他のサーバーの外部受信接続から、ユーザーが共有しているネットワークフォルダを保護するかどうかを定義します。

既定の設定:無効

サーバーサイド防御機能はLinuxではサポートされていません。

信頼できる接続とブロックされた接続を設定する

信頼済み接続またはブロックされた接続を設定するには:

  1. [サーバーサイドプロテクション] ダイアログで、タブを選択します。
    • 任意のデータについての変更を許可する接続を指定するには、[信頼済み] タブを選択します。
    • データの変更を許可しない接続を指定するには、[ブロック済み] タブを選択します。
  2. 以下のデータを入力しします。
    • プロテクションエージェントがインストールされているマシンのコンピューター名とアカウント。

      たとえば、MyComputer\TestUserのように指定します。

    • エージェントを含むマシンへの接続が許可されているマシンのホスト名。
  3. 右側のチェックマークをクリックすると、接続定義が保存されます。
  4. さらに接続を追加する場合は、[追加] ボタンをクリックします。

 

自己防御

自己防御機能は、ソフトウェア自体のプロセス、レジストリレコード、実行可能ファイルと設定ファイル、ローカルフォルダ内のバックアップへの不正な変更を防止します。この機能は無効にしないことをお勧めします。

既定の設定:有効

自己防御機能はLinuxではサポートされていません。

パスワードによる保護

パスワードによる保護は、許可されていないユーザーまたはソフトウェアが、Windowsエージェントをアンインストールしたりそのコンポーネントを変更したりするのを防ぎます。これらのアクションは、管理者が提供するパスワードによってのみ実行可能です。

次のアクションでは、パスワードは必要ありません。

  • プログラムの設定をローカルで実行してインストールを更新する

  • ウェブコンソールを使用してインストールを更新するサイバープロテクション

  • インストールを修復する

既定の設定:無効

パスワードによる保護を有効にする方法の詳細については、「エージェントの不正なインストール解除または変更の防止」を参照してください。

クリプトマイニングプロセス検出

この設定は、Active Protectionが潜在的なクリプトマイニングマルウェアを検出するかどうかを定義します。

クリプトマイニングマルウェアは、有用なアプリケーションのパフォーマンスを低下させ、電気代を増加させ、システムクラッシュの要因となる可能性があり、酷使によるハードウェアダメージをも引き起こしかねません。ワークロードを保護するため、クリプトマイニングマルウェアを [有害なプロセス] リストに追加することをお勧めします。

既定の設定:有効

クリプトマイニングプロセス検知はLinuxではサポートされていません。

クリプトマイニングプロセス検出設定

[検出時のアクション] で、クリプトマイニングのプロセスを検出したときに実行されるアクションを選択し、[完了] をクリックします。

次のいずれかを選択できます。

  • 通知のみ

    クリプトマイニングのアクティビティが疑われるプロセスについてのアラートが生成されます。

  • [プロセスの停止]

    クリプトマイニングのアクティビティが疑われるプロセスについてのアラートが生成され、プロセスが停止します。

既定の設定:[プロセスの停止]

検疫

検疫フォルダは、疑わしい(感染の可能性がある)ファイルや危険が潜んでいるファイルを隔離するためのフォルダです。

検疫されたファイルを削除するまでの時間 - 検疫されたファイルを削除するまでの日数を定義します。

既定の設定:30日

この機能の詳細については、「隔離」を参照してください。

振る舞い検知

Acronis サイバープロテクションは、振る舞い検知を使用してお使いのシステムを保護します。悪意のあるプロセスを特定するため、プロセスによって実行された一連のアクションと、悪意のある振る舞いパターンのデータベースに記録された一連のアクションを比較します。つまり、典型的な振る舞いによって新しいマルウェアが検出されます。

既定の設定:有効

振る舞い検知はLinuxではサポートされていません。

振る舞い検知設定

[検出時のアクション] で、マルウェアのアクティビティを検出したときに実行されるアクションを選択し、[完了] をクリックします。

次のいずれかを選択できます。

  • 通知のみ

    マルウェアのアクティビティが疑われるプロセスについてのアラートが生成されます。

  • [プロセスの停止]

    マルウェアのアクティビティが疑われるプロセスについてのアラートが生成され、プロセスが停止します。

  • 検疫

    アラートが生成され、プロセスが停止し、実行可能ファイルが検疫フォルダに移されます。

既定の設定:検疫

エクスプロイト防御

この機能を利用できるかどうかは、現在のアカウントで有効になっているサービスクォータによって異なります。

エクスプロイト保護は、感染したプロセスによるWindowsシステムのソフトウェア脆弱性の拡散および悪用を検出して防ぎます。エクスプロイトが検出されると、エクスプロイトによるアクティビティが疑われるプロセスについてのアラートが生成され、プロセスが停止する場合があります。

エクスプロイト保護は、エージェントバージョン12.5.23130(21.08、2020年8月リリース)以降でのみ利用可能です。

既定の設定:新しく作成された保護計画については有効になっています。以前のバージョンのエージェントで作成された既存の保護計画については無効になっています。

エクスプロイト防御はLinuxではサポートされていません。

エクスプロイト保護の設定

エクスプロイトが検出されたときのプログラムによる処置、およびプログラムによって適用されるエクスプロイト防御措置を選択できます。

[検出時のアクションを有効化] 以下で、エクスプロイトが検出された場合の処置を選択して、[完了] をクリックします。

  • 通知のみ

    マルウェアのアクティビティが疑われるプロセスについてのアラートが生成されます。

  • [プロセスの停止]

    マルウェアのアクティビティが疑われるプロセスについてのアラートが生成され、プロセスが停止します。

既定の設定:[プロセスの停止]

[エクスプロイト保護の手法を有効にする] 以下で、適用したいメソッドを有効化または無効化します。その後 [完了] をクリックします。

次のいずれかを選択できます。

  • メモリ保護

    メモリページの実行権限に対する疑わしい変更を検出して防ぎます。疑わしいプロセスにより、ページプロパティに対してそのような変更が適用されると、スタックやヒープなどの通常は実行可能でないメモリ領域からShellコードを実行することが可能になります。

  • リターン指向プログラミング(ROP)保護

    ROPエクスプロイトの手法を使用すると、実行可能スペースの保護やコード署名などのセキュリティ対策が行われていても攻撃者がコードを実行できる場合があります。そのようなROPエクスプロイトを検出して防御します。攻撃者は呼び出しスタックの制御権限を取得します。そして、プログラムの制御フローを乗っ取り、悪意のあるコードを実行します。

  • 権限昇格保護

    認証されていないコードやアプリケーションによる権限昇格を検出して防ぎます。権限昇格は、悪意のあるコードで攻撃対象マシンのフルアクセス権限を取得し、重要事項や機密情報に関するタスクを実行するために使用されます。認証を受けていないコードに対しては、重要なシステムリソースへのアクセスやシステム設定の変更は許可されません。

  • コードインジェクション保護

    リモートプロセスへの悪意のあるコードインジェクションを検出して防ぎます。コードインジェクションは、アプリケーションの悪意のある動作を正常なプロセスや安全とされるプロセスに隠蔽し、アンチマルウェア製品による検出を回避するために使用されます。

既定の設定:すべての措置が有効化されました

除外リストで信頼済みプロセスとして列挙されているプロセスについては、エクスプロイトのスキャンは実行されません。

プロセスがバックアップを変更することを許可する

[特定のプロセスにバックアップの変更を許可] 設定は、自己防御機能の設定が有効になっている場合に限り利用可能です。

拡張子が.tibx、.tib、.tiaで、ローカルフォルダにあるファイルに適用されます。

この設定では、バックアップファイルが自己防御機能で保護されていても変更できるプロセスを指定できます。この機能は、スクリプトを使用してバックアップファイルを削除する場合や、バックアップを別のロケーションに移動する場合に便利です。

この設定が無効になっている場合、バックアップファイルは、バックアップソフトウェアベンダーが署名したプロセスによってのみ変更できます。その結果、Webインターフェースからユーザーがリクエストしたときに、保持ルールが適用され、バックアップが削除されます。他のプロセスは、不審かどうかにかかわらず、バックアップを変更できません。

この設定が有効になっている場合、他のプロセスでバックアップを変更できます。実行可能なプロセスのフルパスを、ドライブ文字を先頭にして指定します。

既定の設定:無効

リアルタイム保護

この機能を利用できるかどうかは、現在のアカウントで有効になっているサービスクォータによって異なります。

リアルタイム保護では、システムの電源がオンになっている間、マシンのシステムにウイルスや他の脅威がないかどうかを常時チェックします。

既定の設定:有効

リアルタイム保護は、ローカル署名ベースのエンジンが有効になっている場合にのみ使用できます。リアルタイム保護を行うには、[リアルタイム保護] スイッチと [Advancedマルウェア対策] スイッチの両方を有効にする必要があります。

リアルタイム保護の検出時のアクションを設定する

[検出時のアクション] で、ウイルスまたは他の悪意のある脅威を検出したときに実行されるアクションを選択し、[完了] をクリックします。

次のいずれかを選択できます。

  • ブロックと通知

    マルウェアのアクティビティが疑われるプロセスがブロックされ、そのプロセスについてのアラートが生成されます。

  • 検疫

    アラートが生成され、プロセスが停止し、実行可能ファイルが検疫フォルダに移されます。

既定の設定:検疫

リアルタイム保護のスキャンモードを設定する

[スキャンモード] で、ウイルスまたは他の悪意のある脅威を検出したときに実行されるアクションを選択し、[完了] をクリックします。

次のいずれかを選択できます。

  • スマートオンアクセス - すべてのシステムアクティビティを監視し、ファイルへの読み取りまたは書き込みアクセスがあったときや、プログラムが起動したときに、自動的にファイルをスキャンします。
  • 実行時 - 実行可能ファイルの起動時に自動的に実行可能ファイルだけをスキャンし、そのファイルがクリーンな状態で、コンピューターやデータに損傷を与えないことを確認します。

既定の設定:スマートオンアクセス

スケジュールスキャン

スケジュールスキャンの設定を有効にして、マシンでマルウェアのチェックを行うスケジュールを定義できます。

検出時のアクション:

  • 検疫

    アラートが生成され、実行可能ファイルが検疫フォルダに移されます。

  • 通知のみ

    マルウェアの疑いがあるプロセスについてのアラートが生成されます。

既定の設定:検疫

スキャンモード:

  • 完全

    フルスキャンは、すべてのファイルをチェックするのでクリックスキャンよりもかなり時間がかかります。

  • クイック

    クイックスキャンでは、マシンの中でマルウェアが存在しそうな場所だけをスキャンします。

保護計画では、[クイック] スキャンと [フル] スキャンのスケジュールを設定できます。

既定の設定:クイックスキャンとフルスキャンのスケジュールが設定されています。

次のイベントを使ってタスクの実行スケジュールを設定します。

  • 時刻でスケジュール - タスクは指定した時間に実行されます。
  • システムへのユーザーログイン時 - デフォルトでは、いずれかのユーザーがログインするとタスクが開始されます。特定のユーザーアカウントのみがタスクをトリガーできるように、この設定を変更できます。

  • システムへのユーザーログオフ時 - デフォルトでは、いずれかのユーザーがログオフするとタスクが開始されます。特定のユーザーアカウントのみがタスクをトリガーできるように、この設定を変更できます。

    このタスクは、システムのシャットダウン時には実行されません。シャットダウンとログオフは、スケジューリング構成における別個のイベントです。

  • システムの起動時 - オペレーティングシステムが起動するときにタスクが実行されます。
  • システムのシャットダウン時 - オペレーティングシステムがシャットダウンするときにタスクが実行されます。

既定の設定:時刻でスケジュール

スケジュールの種類:

  • 月次 - タスクを実行する該当月と、その月内の週または日を選択しします。
  • 日次 - タスクを実行する週中の日を選択しします。
  • 毎時 - タスクを実行する週中の日、繰り返しの回数、時間間隔を選択しします。

既定の設定:日単位

開始時間 - タスクを実行する正確な時間を選択します。

日付範囲内に実行 - 設定したスケジュールが有効な日付範囲を指定します。

開始条件 - すべての条件を定義して、どの条件が同時に満たされたときにタスクを実行するか指定します。

マルウェア対策スキャンの開始条件は、バックアップモジュールの開始条件に類似しています。「開始条件」に説明されています。以下のような追加の開始条件を定義できます。

  • 時間枠内でタスク開始時間を分散する - このオプションを使用すると、タスクを実行する時間枠を設定して、ネットワークのボトルネックを回避できます。遅延時間を、時間または分単位で指定できます。たとえばデフォルトの開始時間が10:00 AMで、遅延を60分とした場合、タスクは10:00 AMから11:00 AMの間に開始されます。
  • マシンの電源が入っていないため実行されなかったタスクを起動時に実行する
  • タスク実行中はスリープモードや休止モードに入らない - このオプションは、Windowsを実行しているマシンに対してのみ有効です。
  • 開始条件を満たさない場合でも、次の時間の経過後にタスクを実行 - 他の開始条件にかかわらずタスクが実行されるまでの時間を指定します。
開始条件は、Linuxではサポートされていません。

新しいファイルと変更されたファイルだけをスキャン - 新しく作成されたファイルと変更されたファイルだけをスキャンします。

既定の設定:有効

フルスキャンをスケジューリングする場合、2つの追加オプションを利用できます。

アーカイブファイルのスキャン

既定の設定:有効

  • 再帰動作の最大深

    どのレベルまで埋め込みアーカイブをスキャンできますか。たとえば、MIME文書 > ZIPアーカイブ > Officeアーカイブ > 文書コンテンツのようになります。

    既定の設定:16

  • 最大サイズ

    スキャンするアーカイブファイルの最大サイズ。

    既定の設定:無制限

リムーバブルドライブのスキャン

既定の設定:無効

  • マッピングされた(遠隔)ネットワークドライブ
  • USBストレージデバイス(ペンドライブや外部ハードドライブなど)
  • CD/DVD
リムーバブルドライブのスキャンはLinuxではサポートされていません。

除外

ヒューリスティック分析によって使用されるリソースを最小限にするために、また、いわゆる誤検知(信頼されているプログラムがランサムウェアまたは他のマルウェアと見なされてしまうこと)をなくすために、次の設定を定義することができます。

[信頼できる] タブで、以下の指定ができます。

  • マルウェアとは絶対に見なされないプロセス。Microsoftが署名したプロセスは常に信頼されます。
  • ファイル変更を監視しないフォルダ。
  • スケジュールに基づくスキャンを実行しないファイルとフォルダ。

[ブロック] タブで、以下の指定ができます。

  • 常にブロックするプロセス。Active Protectionまたはマルウェア対策保護がマシン上で有効になっていると、これらのプロセスを開始できません。
  • すべてのプロセスをブロックするフォルダ

既定の設定:デフォルトでは除外は定義されていません。

ワイルドカード(*)を使用して、除外リストにアイテムを追加できます。

変数を使用して、除外リストにアイテムを追加することもできます。次の制限事項に注意してください。

  • Windowsでは、システム変数のみがサポートされます。%USERNAME%、%APPDATA%などのユーザー固有の変数はサポートされていません。{username}を伴う変数はサポート対象外です。詳細については、https://ss64.com/nt/syntax-variables.htmlを参照してください。
  • macOSでは、環境変数はサポートされていません。
  • Linuxでは、環境変数はサポートされていません。

サポートされる形式の例:

  • %WINDIR%\Media
  • %public%
  • %CommonProgramFiles%\Acronis\ *