[KB6119] ランサムウェアから保護するためのESETビジネス製品のHIPSルール設定

注意事項

このページはコンピュータによって翻訳されています。このページの「言語」の「英語」をクリックすると、原文が表示されます。ご不明な点がございましたら、お近くのサポートまでお問い合わせください。

問題

Click an image to open the ESET Knowledgebase article for anti-ransomware best practices and additional product configurations:

詳細

クリックして拡大


ESETのホストベース侵入防御システム(HIPS)は、ESET Endpoint Security、ESET Endpoint Antivirus、ESET Mail Security for Microsoft Exchange Server、ESET File Security for Microsoft Windows Serverに含まれています。HIPS は、システムアクティビティを監視し、事前に定義されたルールセットを使用して、疑わしいシステム動作を認識します。

この種のアクティビティが識別されると、HIPS の自己防衛メカニズムが、問題のあるプログラムやプロセスが潜在的に有害なアクティビティを実行するのを阻止します。JavaScriptやその他のスクリプトの標準的な実行を禁止することで、ランサムウェアはダウンロードや実行ができなくなります。Windows システム上のランサムウェア・マルウェアをさらに防ぐには、HIPS を備えた最新の ESET ビジネス製品で以下のルールを作成するか、ESET PROTECT ポリシーを作成して適用します。

対策

本番システムで設定を調整しない

以下の設定は追加設定であり、セキュリティ環境に必要な具体的な設定は異なる場合があります。本番環境で使用する前に、テスト環境で各実装の設定をテストすることをお勧めします。

手動で ESET PROTECT ポリシーを作成する/ESET ビジネス製品で設定を構成する

  1. ESETのPROTECTまたはESETのPROTECT On-Premを開く.クイック リンク]ドロップダウン メニューで、[新しいポリシーを作成...] をクリックします。

    リモート管理のないESETビジネス製品を使用している場合は、ESETのWindows製品のメインプログラムウィンドウを開くし、F5キーを押して詳細設定にアクセスします。ステップ3に進みます。
  2. 設定] をクリックし、[製品の選択...]ドロップダウン メニューで、HIPS を使用する次の ESET ビジネス製品のいずれかを選択します:
    • ESET Endpoint for Windows
    • ESET File Security for Windows Server (V6+).
    • ESET Mail Security for Microsoft Exchange(V6+)。
図 1-1
クリックすると新しいウィンドウで拡大表示されます。
  1. Detection Engine(ESETMail Security for Microsoft Exchange Server のコンピュータ→HIPS をクリックします。Rules」の横にある「Edit 」をクリックする。
図 1-2
クリックすると新しいウィンドウで拡大表示されます。

オプション(I.~VII.)をクリックして、以下の各セクションを展開し、提案されたプロセスの HIPS ルールを作成する。


I.スクリプト実行可能ファイルからのプロセスの拒否
  1. HIPS ルールウィンドウで、Add をクリックします。
図 2-1

  1. ルール名]フィールドに[スクリプト実行可能ファイルからの子プロセスの拒否]と入力します。アクション] ドロップダウン メニューから[ブロック]を選択します。これらの設定を有効にするには、[アプリケーション]、[有効]、および[ユー ザーに通知]の横にあるトグルをクリックします。ログの重要度]ドロップダウンメニューから[警告]を選択し、 [次へ]をクリックします。

図 2-2

  1. Source applications(ソース・アプリケーション)」ウィンドウで、「Add(追加)」 をクリックし、以下の名前を入力し、それぞれの後に「OK」→「 Add 」をクリックする:

    • C:⊖ WindowsSystem32⊖wscript.exe
    • C:⊖Windows⊖System32⊖cscript.exe
    • C:■WindowsSysWOW64■wscript.exe
    • C:¥Windows¥System¥WOW64¥cscript.exe
    • C:¥Windows¥System32¥ntvdm.exe

    Next をクリックします。

図2-3
  1. Application operations(アプリケーションの操作)ウィンドウで、 Start new application(新しいアプリケー ションの開始)の横のトグルをクリックして有効にし、Next(次へ)をクリックする。
図 2-4
  1. ドロップダウン・メニューから「All applications」を選択し、「Finish」をクリックする。
図 2-5
  1. HIPS ルールウィンドウは開いたままにして、次のセクションに進む。

II.エクスプローラによって開始されるスクリプトプロセスの拒否
  1. HIPS ルールウィンドウで、[追加]をクリックする。

  1. ルール名]フィールドに「Deny script processes started by explorer」と入力します。

    アクション] ドロップダウン メニューから[ブロック]を選択します。

    の横にあるトグルをクリックします:

    ログの重要度]ドロップダウン メニューで[警告]を選択し、[次へ]をクリッ クします。

図3-1
  1. Source applications(ソース・アプリケーション)」ウィンドウで「Add(追加)」をクリックし、 「Specify file path(ファイル・パスの指定)」フィールドに「C:¥Windows¥explorer.exe」を入力し、 「OK」→「 Next(次へ)」をクリックする。
図 3-2
  1. Application operations(アプリケーションの操作)ウィンドウで、Start new application(新しいアプリケー ションの開始)の横のトグルをクリックして有効にし、Next(次へ)をクリックする。
図 3-3

  1. Applications(アプリケーション)ウィンドウで、Add(追加)をクリックし、以下の名前を入力し、それぞれの後にOKAddを クリックする:

    • C:⊖ WindowsSystem32⊖wscript.exe
    • C:¦WindowsSystem32¦cscript.exe
    • C:■WindowsSysWOW64■wscript.exe
    • C:¦WindowsSysWOW64¦cscript.exe

    Finishをクリックします。

図 3-4
  1. HIPS ルールウィンドウを開いたままにして、次のセクションに進む。

III.Office 2013/2016 プロセスからの子プロセスの拒否
  1. HIPS ルールウィンドウで、[Add] をクリックする。

  2. ルール名フィールドに「Deny child processes from Office 2013 processes」と入力する。アクション] ドロップダウン メニューから [ブロック] を選択します。これらの設定を有効にするには、[アプリケーション]、[有効]、[ユーザーに通知]の横にあるトグルをクリックします。ログの重要度] ドロップダウン メニューから [警告]を選択し、[次へ] をクリックします。

図4-1

  1. Source applications(ソース・アプリケーション)」ウィンドウで、「Add(追加)」 をクリックして以下の名前を入力し、それぞれの後に「OK」→「 Add 」をクリックする:

    • C:¥Program Files¥Microsoft Office¥Office¥WINWORD.EXE
    • C:¥Program Files¥Microsoft Office¥Office15¥OUTLOOK.EXE
    • C:¥Program Files¥Microsoft Office¥Office15¥EXCEL.EXE
    • C:¥Program Files¥Microsoft Office¥Office15¥POWERPNT.EXE
    • C:¥Program Files (x86)¥Microsoft Office¥Office¥WINWORD.EXE
    • C:¥Program Files (x86)¥Microsoft Office¥Office¥OUTLOOK.EXE
    • C:¥Program Files (x86)¥Microsoft Office¥Office¥EXCEL.EXE
    • C:¥Program Files (x86)¥Microsoft Office¥Office¥POWERPNT.EXE

    Next をクリックします。

図 4-2
  1. Application operationsウィンドウで、Start new applicationの横のトグルをクリックして有効にし、Nextをクリックする。
図 4-3

  1. アプリケーション」ウィンドウで「追加」をクリックし、以下の名前を入力し、それぞれの後に「OK」→「 追加 」をクリックする:

    • C:⊖WindowsSystem32⊖cmd.exe
    • C:⊖WindowsSysWOW64⊖cmd.exe
    • C:¥Windows¥System32¥Windowscript.exe
    • C:⊖WindowsSysWOW64⊖wscript.exe
    • C:¥Windows¥System32¥cscript.exe
    • C:¥Windows¥SysWOW64¥cscript.exe
    • C:¥Windows¥System32¥ntvdm.exe
    • C:¥Windows¥System32¥WindowsPowerShell¥v1.0¥powershell.exe
    • C:⊖WindowsSysWOW64⊖WindowsPowerShell⊖v1.0⊖powershell.exe
    • C:¥Windows¥System32¥regsvr32.exe
    • C:¥Windows¥SysWOW64¥regsvr32.exe
    • C:¥Windows¥System32¥rundll32.exe
    • C:■WindowsSysWOW64■rundll32.exe

    Finish をクリックする。

図 4-4

  1. 上記と同じ手順を繰り返して、必要に応じて追加のOfficeバージョンを追加する。

    • 2016 = Office16 (C:³ Files (x86)³³³Microsoft Office ³³³Root ³³³Office16 ³...)
    • 2010 = Office14

  1. HIPS ルール・ウィンドウを開いたままにして、次のセクションに進む。


IV.regsrv32.exe の子プロセスを拒否する
  1. HIPS ルールウィンドウで、[追加]をクリックする。

  1. ルール名フィールドに「Deny child processes for regsrv32.exe」と入力する。

    アクション] ドロップダウンメニューから、[ブロック]を選択します。

    以下の設定の横にあるトグルをクリックして有効にします:

    • アプリケーション
    • アプリケーション
    • ユーザーへの通知

    Logging severity]ドロップダウンメニューから[Warning]を選択し、[Next]をクリックします。

図 5-1

  1. Source applications(ソース・アプリケーション)」ウィンドウで、「Add(追加)」 をクリックして以下の名前を入力し、それぞれの後に「OK」Add 」をクリックする:

    • C:¥WindowsSystem32¥regsvr32.exe
    • C:¥Windows¥SysWOW64¥regsvr32.exe

    Next をクリックする。

図 5-2
  1. Application operations(アプリケーションの操作)ウィンドウで、Start new application(新しいアプリケー ションの開始)の横のトグルをクリックして有効にし、Next(次へ)をクリックする。
図 5-3

  1. Applications」ウィンドウで「Add」をクリックし、以下の名前を入力し、それぞれの後に「OK」→「 Add 」をクリックする:

    • C:¥Windows¥System32¥cmd.exe
    • C:■WindowsSysWOW64■cmd.exe
    • C:¥Windows¥System32¥Windowscript.exe
    • C:⊖WindowsSysWOW64⊖wscript.exe
    • C:¥Windows¥System32¥cscript.exe
    • C:¥Windows¥SysWOW64¥cscript.exe
    • C:¥Windows¥System32¥ntvdm.exe
    • C:¥Windows¥System32¥WindowsPowerShell¥v1.0¥powershell.exe
    • C:¥Windows¥SysWOW64¥WindowsPowerShell¥v1.0¥powershell.exe

    Finish をクリックする。

図 5-4
  1. HIPSルール・ウィンドウを開いたままにして、次のセクションに進む。

V.mshta.exe の子プロセスの拒否
  1. HIPS ルールウィンドウで、[追加]をクリックします。

  1. ルール名フィールドに「Deny child processes for mshta.exe」と入力する。

    アクション] ドロップダウン メニューから [ブロック] を選択します。

    次の設定の横にあるトグルをクリックして有効にします:

    • アプリケーション
    • アプリケーション
    • ユーザーへの通知

    Logging severity]ドロップダウンメニューから[Warning]を選択し、[Next]をクリックします。

図 6-1

  1. Source applications(ソース・アプリケーション)」ウィンドウで、「Add(追加)」 をクリックして以下の名前を入力し、それぞれの後に「OK」Add 」をクリックする:

    • C:¥Windows¥System32¥mshta.exe
    • C:■WindowsSysWOW64■mshta.exe

    Next をクリックする。

図 6-2
  1. Application operations(アプリケーション操作)ウィンドウで、Start new application(新規アプリケー ションの開始)の横のトグルをクリックして有効にし、Next(次へ)をクリックする。
図 6-3
  1. ドロップダウン・メニューから「All applications」を選択し、「Finish」をクリックする。
  1. HIPSルールウィンドウは開いたままにして、次のセクションに進む。

VI.rundll32.exe の子プロセスを拒否する。
  1. HIPS ルールウィンドウで、[追加]をクリックする。

  1. ルール名フィールドに「Deny child processes for rundll32.exe」と入力します。

    アクション] ドロップダウン メニューから、[ブロック] を選択します。

    次の設定の横にあるトグルをクリックして有効にします:

    • アプリケーション
    • アプリケーション
    • ユーザーへの通知

    Logging severity]ドロップダウンメニューから[Warning]を選択し、[Next]をクリックします。

図 7-1
  1. Source applications」ウィンドウで「Add」をクリックし、「Specify file path」フィール ドに「C:㊟WindowsSystem32㊟rundll32.exe」を入力し、「OK」→「 Next」をクリックする。
図 7-2
  1. Application operations(アプリケーション操作)」ウィンドウで、「Start new application(新規アプリケー ションの開始)」の横のトグルをクリックして有効にし、「Next(次へ)」をクリックする。
図 7-3

  1. Applications」ウィンドウで「Add」をクリックし、以下の名前を入力し、それぞれの後に「OK」 →「 Add 」をクリックする:

    • C:¥Windows¥System32¥cmd.exe
    • C:■WindowsSysWOW64■cmd.exe
    • C:¥Windows¥System32¥Windowscript.exe
    • C:⊖WindowsSysWOW64⊖wscript.exe
    • C:¥Windows¥System32¥cscript.exe
    • C:¥Windows¥SysWOW64¥cscript.exe
    • C:¥Windows¥System32¥ntvdm.exe
    • C:¥Windows¥System32¥WindowsPowerShell¥v1.0¥powershell.exe
    • C:¥Windows¥SysWOW64¥WindowsPowerShell¥v1.0¥powershell.exe

    Finish をクリックする。

図 7-4
  1. HIPSルール・ウィンドウを開いたままにして、次のセクションに進む。

VII.powershell.exe の子プロセスの拒否
  1. HIPS ルールウィンドウで、「Add」をクリックする。

  1. ルール名フィールドに「Deny child processes for powershell.exe」と入力する。

    アクション] ドロップダウンメニューから、[ブロック]を選択します。

    以下の設定の横にあるトグルをクリックして有効にします:

    • アプリケーション
    • アプリケーション
    • ユーザーへの通知

    Logging severity]ドロップダウンメニューから[Warning]を選択し、[Next]をクリックします。

図 8-1

  1. Source applications」ウィンドウで、「Add」をクリックして以下の名前を入力し、それぞれの後に「OK」Add 」をクリックする:

    • C:¥WindowsSystem32¥WindowsPowerShell¥v1.0¥powershell.exe
    • C:■WindowsSysWOW64■WindowsPowerShell■v1.0■powershell.exe

    Next をクリックする。

図 8-2
  1. Application operations」ウィンドウで、「Start new application」の横のトグルをクリックして有効にし、 「Next」をクリックする。
図 8-3
  1. ドロップダウン・メニューから「All applications」を選択し、「Finish」をクリックする。
  1. HIPS ルール ウィンドウで、[OK]をクリックする。ポリシーをクライアントまたはグループに割り当てる場合は、[割り当て]を 展開し、そうでない場合は、[新しいポリシー - 設定]画面で[完了 ]をクリックします。割り当てられた場合、ESET PROTECT または ESET PROTECT On-Prem にチェックインすると、ポリシー設定が対象のグループまたはクライアントコンピュータに適用されます。

    リモート管理のない ESET ビジネス製品を使用している場合は、[OK]を 2 回クリックします。

ESET PROTECT ポリシーのダウンロードとインポート

ランサムウェア マルウェア(filecoder)から保護するための追加 HIPS 設定を備えた ESET ビジネス製品用の ESET PROTECT ポリシーは、以下のリンクからダウンロードしてインポートできます。ESET PROTECT ポリシーは、ESET 製品の最新バージョンでのみ使用できます。それ以前のバージョンとの互換性は保証できません。

  1. 追加HIPS保護ESET PROTECTポリシーをダウンロードする:

  1. #ESET PROTECT または ESET PROTECT On-Prem を開く' target='_self'#@#.メインメニューでPolicies をクリックします。

  2. ActionsImport... をクリックします。
図 9-1
クリックすると新しいウィンドウで拡大表示されます
  1. Choose file to upload(アップロードするファイルを選択)」をクリックし、ダウンロードしたポリシーを選択し、「Import(インポート)」をクリックする。
図 9-2
  1. ポリシーをクライアントに割り当てるかポリシーをグループに割り当てます。ポリシー設定は、ESET PROTECT または ESET PROTECT On-Prem にチェックインすると、対象のグループまたはクライアント コンピュータに適用されます。
日本語 Japanese
Česky
Dansk
English
Español
Slovenský
この記事は以下に当てはまります
Product
OS
Issue
前回更新日: Apr 11, 2025

その他のリソース

ユーザーガイド

ESETフォーラム

YouTube動画

サポートニュース カスタマーアドバイザリー ESET Status Portal ESETテクニカルサポートへのお問い合わせ

既存の顧客?