1.脅威の検出と駆除。悪意のあるプログラム(メールファイルやブートレコードに感染するものを含むウイルス、トロイの木馬、メールワームなど)や望ましくないソフトウェア(アドウェア、ジョークプログラム、ダイアラーなど)を検索します。コンピューターの脅威の種類に関する詳細については、付録A. コンピューター脅威の種類を参照してください。
脅威の検出方法:
•シグネチャ解析。既知の脅威を検出できます。
•ヒューリスティック解析。ウイルスデータベースに含まれていない脅威を検出できます。
•クラウドベースの脅威検出テクノロジー。Dr.Web Cloudサービスを使用して、新しい脅威に関する最新の情報を収集し、それをDr.Web製品に送信します。
|
ヒューリスティックアナライザは誤検知を引き起こす可能性があります。その結果、アナライザによって検出された脅威を含むオブジェクトは「疑わしい」と見なされます。このようなファイルを隔離し、解析のためにDoctor Webアンチウイルスラボに送信することをお勧めします。脅威を駆除する方法の詳細は、付録B. コンピューター脅威の駆除を参照してください。 |
ユーザーのリクエストに応じてファイルシステムをスキャンする場合、ユーザーが利用できるすべてのファイルシステムオブジェクトのフルスキャン、または指定されたオブジェクトのみ(指定された基準を満たす個別のディレクトリまたはファイル)のカスタムスキャンが可能です。さらに、システム内で現在アクティブなプロセスをサポートするボリュームと実行ファイルのブートレコードを別々にチェックすることもできます。後者の場合、脅威が検出されると、悪意のある実行ファイルを駆除するだけでなく、選択的スキャンにより実行されているすべてのプロセスが強制的に終了されます。一連の異なるアクセスレベルを持つファイルへのアクセスの必須モデルを実装するシステムでは、現在のアクセスレベルでは利用できないファイルのスキャンは特別な自律コピーモードで行うことができます。
ファイルシステムで検出された脅威を含むオブジェクトはすべて、自律コピーモードで検出された脅威を除いて、永久保存された脅威レジストリに登録されます。
Dr.Web for UNIX Mail Serversに含まれているDr.Web Ctlコマンドラインを使うと、SSHまたはTelnet経由でのリモート端末アクセスを提供するリモートネットワークホストの脅威ファイルシステムをスキャンできます。
|
リモートスキャンは、リモートホスト上の悪意のあるファイルや疑わしいファイルの検出にのみ使用できます。リモートホストで検出された脅威を排除するには、このホストによって直接提供される管理ツールを使用する必要があります。たとえば、ルーターやその他の「スマート」デバイスの場合は、ファームウェア更新のメカニズムを使用できます。コンピューティングマシンの場合は、コンピューティングマシンへの接続(任意でリモート端末モードを使用)とファイルシステムのそれぞれの操作(ファイルの削除または移動など)、またはコンピューティングマシンにインストールされているアンチウイルスソフトウェアの実行を介して実行できます。 |
2.メールメッセージのスキャン。Dr.Web for UNIX Mail Serversはさまざまなメールメッセージのスキャンモードをサポートしています。
•メールサーバー(MTA)に接続された外部フィルターモード。Dr.Web for UNIX Mail Serversは、外部フィルター(Milter、Spamd、Rspamd)との接続用のインターフェースをサポートするメールサーバーに統合できます。フィルターモードでは、MTAが主導して、メールサーバーに届いたすべてのメールが有効化されたインターフェースを経由してDr.Web for UNIX Mail Serversに送信され、スキャンされます。インターフェースの機能に応じて、フィルターとして動作するDr.Web for UNIX Mail Serversは次のことが可能です。
▫メールスキャンの結果をサーバーに通知します。この場合、メールサーバーは受信した結果に従ってメールメッセージを個別に処理する必要があります(スキャン結果に脅威の存在に関する情報が含まれている場合は、配信を拒否する、ヘッダーを追加する、またはメールの内容を変更します)。
▫メッセージを受信または拒否するコマンドをメールサーバーに送信します。
▫ヘッダーを追加するか、検出された悪意のあるコンテンツや望ましくないコンテンツを削除して、メールメッセージを変更します。削除された悪意のあるコンテンツは、パスワードで保護されたアーカイブとしてメールメッセージに添付されます。メールメッセージの受信者は、保護されたアーカイブを解凍するためのパスワードをメールサーバー管理者に要求できます。推奨されませんが、管理者は必要に応じて、パスワードで保護されていないアーカイブの使用を設定できます。
|
メールサーバーへのコマンドの送信または変更されたメッセージの返信は、Milterインターフェースでのみサポートされます。SpamdとRspamdでは、Dr.Web for UNIX Mail Serversがサーバーにコマンドを送信し、変更されたメールメッセージを返すことはできません。「メールメッセージはスパムです」または「メールメッセージはスパムではありません」という2つの判定のうち1つがサーバーに返されます。このようなメッセージの処理に関するすべてのアクション(メールヘッダーの追加や変更、メッセージの拒否、受信者への送信など)は、MTA側の設定で定義する必要があります。 メールメッセージが拒否された理由と、場合によってはMTAがメールメッセージに適用する必要があるアクションをMTAに返すために、テキスト変数(Spamdにはreport、Rspamdにはaction)が使用されます。これはMTAで処理できる、LUAメッセージ処理手順によって返されます(たとえば、EximではACL)。 |
•SMTPプロキシモードは、1つまたは複数のMTAやMDAにさらに転送したSMTPトラフィックを迂回してスキャンします。実際には、このモードは前のモードと似ています。Dr.Web for UNIX Mail Serversが(Milter、Spamd、またはRspamdを使用して)MTA(たとえばPostfix)に接続され、このMTAは他のMTAにメールメッセージを送信するようにカスタマイズされています(たとえば、さまざまなドメイン宛てのメッセージルーティングの実行など)。
•メールプロトコルの透過プロキシモード。このモードでは、Dr.Web for UNIX Mail Serversは(SpIDer Gateコンポーネントを使用して)共有相手に対して透過的にMTAやMUAの間でデータを共有するためにチャネルに埋め込まれているプロキシサーバーの機能と、送信済みメッセージのスキャナの機能を実行します。この製品は主なメールプロトコル(SMTP、POP3、IMAP)に透過的に組み込むことができます。このモードでは、組み込まれているプロトコルにもよりますが、Dr.Web for UNIX Mail Serversは受信者にメールメッセージを送信することや(メールメッセージの変更や、変更後のヘッダーの追加、メールメッセージの再圧縮はできません)、その配信をブロックすることができます。これには、送信者または受信者への適切なプロトコルエラーの返信も含まれます。
|
透過プロキシモードはGNU/Linuxでのみ使用できます。
Dr.Web for UNIX Mail Serversは単体で動作可能なメールサーバーではないため、プロキシモードで動作させるには、Dr.Web for UNIX Mail Serversが動作する同じホストにメールサーバー(MTA)をインストールする必要があります。 |
Dr.Web for UNIX Mail Serversはディストリビューションと設定に応じて、メールメッセージのスキャンを実行します。
•脅威を含む悪意のある添付ファイルの検出
•悪意のあるWebサイトまたは望ましくないカテゴリーに属するWebサイトへのリンクの検索
•フィッシングとスパムの兆候の検出(DKIMテクノロジー、スパムフィルタリングの自動的に更新されたルールデータベース、DNSxLブラックリスト内の送信者のアドレスの存在をチェックするメカニズムを使用)
•メールシステムの管理者が独自に設定したセキュリティ基準への準拠(正規表現を使用したメッセージ本文とヘッダーのスキャン)
メールメッセージに含まれている望ましくないWebサイトへのリンクのスキャンには、自動的に更新されるWebリソースカテゴリーのデータベースが使用されます。これはDr.Web for UNIX Mail Serversとともに配信されます。また、メールメッセージに記載されているWebソースが他のDr.Web製品によって悪意のあるものとしてマークされている場合、Dr.Web Cloudは情報の入手可能性を確認するように要求されます。
|
バージョン11.0以降のDr.Web for UNIX Mail Serversでは、メールメッセージに適用可能なアクションが大幅に削減されています。 バージョン11.0以降、Dr.Web for UNIX Mail Serversはメールメッセージに対して次のアクションのみを実行します。 •管理者が設定した基準に準拠していることと、スパムの兆候をスキャンしていることを確認するためのメールメッセージチェック(DNSxLブラックリストをチェックする設定がされている場合、そのリストの送信者ドメインのチェックも実施) •悪意のあるWebサイトまたは望ましくないカテゴリーに属するWebサイトへのリンクの検索 •悪意のある添付ファイルの検出 スキャン用のメールメッセージの受信に使用されたプロトコルとメールメッセージを送信した側(MTA/MDAまたはMUA)がスキャン用の転送済みメールメッセージの変更をサポートしている場合、Dr.Web for UNIX Mail Serversは標準的なアクション「無視」と「拒否」に加え、事前に定義された再圧縮テンプレートの1つに基づいてメールメッセージを再圧縮できます(再圧縮中は、すべての脅威がメールに添付された保護アーカイブに移動され、脅威や望ましくない内容に関する通知がメールの本文に追加されます)。その上、メールのヘッダーを追加、修正する基本機能がサポートされています。 その他のすべてのアクション(管理者への通知の送信、添付ファイルの完全な削除、名前変更など)が必要な場合は、保護されたメールサーバー(MTA/MDA)を介して実装する必要があります。必要に応じて、他社の開発者から対応する処理用に設計された一連の特定のフィルタープラグインを入手し、接続することにより、保護されたメールサーバー経由でそれらを実装する必要があります。
ディストリビューションによっては、Dr.Web for UNIX Mail ServersにDr.Web Anti-Spamコンポーネントが含まれない場合があります。この場合、スパムに対するメッセージのスキャンは行われません。 |
3.感染したオブジェクトや疑わしいオブジェクトを確実に隔離します。サーバーのファイルシステムで検出されたそのようなオブジェクトは、システムへの害を防ぐ特別なフォルダに移動され、隔離されます。隔離へ移動されたオブジェクトは、特別なルールに従って名前が変更され、必要に応じて、要求があった場合にのみ元の場所に復元できます。
Dr.Web MailDコンポーネントによって検出されたメールメッセージ内の脅威は、サーバー上の隔離に移動され、変更されたメールメッセージ内でユーザー受信者に送信されます。その際、パスワードで保護されたアーカイブに圧縮されます。ユーザーは、Dr.Web for UNIX Mail Serversの管理者から受け取ったパスワードを指示するだけで、アーカイブの内容にアクセスできます。
4.マルウェアに対する高度な保護を維持するための、スキャンエンジン、ウイルスデータベース、Webリソースカテゴリーのデータベース、メールスパムフィルタリングルールのデータベースの自動更新。
5.ウイルスイベントに関する統計の収集、脅威検出イベントのロギング。SNMPを介して検出された脅威に関する通知を、外部のモニタリングシステム、集中管理サーバー(Dr.Web for UNIX Mail Serversが集中管理モードで動作している場合)、およびDr.Web Cloudに送信します。
6.集中管理モードでの動作(Dr.Web Enterprise Serverなどの集中管理サーバーに接続している場合、またはDr.Web AV-Deskサービスの一部として)。このモードでは、保護されたネットワーク内のコンピューターに、統合されたセキュリティポリシーを導入できます。保護されたネットワークには、企業ネットワークやプライベートネットワーク(VPN)、サービスプロバイダー(インターネットサービスプロバイダーなど)のネットワークが該当します。