[FCS] マルウェア検出後のクリーンアップ動作

マルウェアが FCS に検出されると FCS はクリーンアップ動作を行いますが、条件によって動作が変わりますので説明します。

クリーンアップ動作に影響を与える条件は下記があります。

1. 検出時の FCS の動作

2. クリーンアップ動作の自動実行設定

3. ユーザーのログオン状態

それぞれに関して説明します。

1. 検出時の FCS の動作

FCS がマルウェアを検出する動作には大別して「リアルタイム保護」と、手動またはスケジュール実行での「スキャン」があります。

マルウェアを検出する動作が「リアルタイム保護」であるか「スキャン」であるかでクリーンアップ動作が異なります。さらに「スキャン」での検出に関しては手動での実行かスケジュール実行かでも動作が異なります。

このブログ記事では、マルウェア検出時のクリーンアップ動作について説明します。

リアルタイム保護での検出

リアルタイム保護は、ユーザーまたは実行中のプロセスが参照したファイルを FCS が自動的に確認する機能です。リアルタイム保護でファイルが検出された場合、ユーザーがログオン中であれば、通知領域に のアイコンが通知されます。

アイコンを右クリックして [検出された項目を確認する] を選択すると検出されたマルウェアの詳細が確認できます。

ここで検出されたマルウェアの [名前] や [警告レベル] の確認が実施できます。

[スマート クリーン] を押すと、定義ファイルに既定された操作をマルウェアに対して実行します。

(なお、[スマート クリーン] を押さなくても、後述2. クリーンアップ動作の自動実行設定 でリアルタイム保護で検出された項目に対するクリーンアップが有効であれば、マルウェアの検出から 10 分が経過すると自動的に定義ファイルに既定された操作が適用されます。)

マルウェアを検疫したいなど定義ファイルに既定された以外の操作を行いたい場合には、[確認] を押します。

[操作を適用する] を押すと [操作] で選択した操作が実施されます。

スキャンでの検出

スキャンは手動またはスケジュールで定期的に実行され、コンピュータのディスク上にあるファイルを順次確認します。

手動でのスキャン中にマルウェアが検出された場合、ユーザーにマルウェアの検出が通知されます。

ユーザーに通知が行われるのはリアルタイム保護での検出と同様ですが、 自動的に定義ファイルに既定された操作は適用されません

マルウェアに対して操作を行うには、[スマート クリーン] を選択するか、[スキャン後に検出された項目を確認する] を選択して下記の画面で適用したい [操作] を選んでから [操作を適用する] を押します。

スケジュール スキャン中にマルウェアが定義ファイルベースで検出された場合、スキャンの終了後、 即時に定義ファイルに既定された操作が実施されます 。ただし、2. クリーンアップ動作の自動実行設定 でスキャン終了後のマルウェアのクリーンアップ操作が有効になっていることが必要です。

2. クリーンアップ動作の自動実行設定

レジストリの設定で、検出されたマルウェアに関するクリーンアップ動作を10分後に自動的に実行するか否かを制御できます。GUI から設定を変更することはできません。また、10分という時間の設定は変更できません。

既定値は 0 つまり無効ですが、管理サーバーから FCS 関連のポリシーを配布すると 1 に設定され有効になります。実質、ほとんどのクライアントがポリシーを配布した状態で動作していますので、1 が設定されています。

リアルタイム保護で検出された項目に対してのクリーンアップ

キー: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Real-Time Protection\

エントリ: AutomaticallyCleanRealTimeAfterDelay

種類: REG_DWORD

0 を設定するとリアルタイム保護で検出したマルウェアを自動的にクリーンアップしません。

1 を設定するとリアルタイム保護で検出したマルウェアを自動的にクリーンアップします。

検出後 10 分が経過すると自動的にクリーンアップが行われます。クリーンアップが行われるまでの時間は変更できません。

スキャン終了後のマルウェアのクリーンアップ

キー: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Forefront\Client Security\1.0\AM\Scan\

エントリ: AutomaticallyCleanAfterScan

種類: REG_DWORD

0 を設定するとスケジュール スキャンの終了後に検出したマルウェアを自動的にクリーンアップしません。

1 を設定するとスケジュール スキャンの終了後に検出したマルウェアを自動的にクリーンアップします。

手動でのスキャンに関しては、設定に関わらず自動的にクリーンアップしません。

3. ユーザーのログオン状態

ユーザーがログオンしているか否かもクリーンアップ動作に影響を与えます。

ユーザーがログオンしている時、マルウェアが「リアルタイム保護」で検出された場合には、1. 検出時の FCS の動作 に書かれている通り、ユーザーに通知され、10 分後には自動的に既定の操作が適用されます。

ユーザーがログオフ中に「リアルタイム保護」でマルウェアが検出された場合には、ユーザーに通知ができないばかりではなく、 自動的に既定の操作が適用されることもありません 。次回ログオン時に、ログオフ中に検出されたマルウェアに関しての通知が出されることもありません。

ここまで読むと、ログオフ中に検出されたマルウェアに関しての保護ができないとお考えの方もいらっしゃるかも知れません。しかし、FCS は検出したファイルはブロックしています。マルウェアを実行するなどの操作はできないため、例えクリーンアップされないとしてもセキュリティの問題はないのです。なお、ブロック中のファイルであっても、FCS 以外のプロセスが削除することはできます。

ユーザーがログオフ中にスキャンが実行され、マルウェアが検出された場合には、スキャン終了直後に 2. クリーンアップ動作の自動実行設定 でスキャン終了後のマルウェアのクリーンアップが有効であれば、自動的に既定の操作が適用されます。

フローチャート

上記の動作をフローチャートにすると下記のようになります。

--- 画像をクリックして拡大できます ---