アプリケーション動作スクリプト ブロック

ファイル保護ルールは、ユーザが騙され (通常は詐欺メール) 添付ファイルを開いたり、マルウェアを含むファイルをインターネットからダウンロードするときに、エンドポイントがマルウェアまたはランサムウェアに感染する最も一般的な方法をブロックできます。ユーザが騙されて開くファイルのほとんどは、マクロを含む Word 文書、.JS (JavaScript) ファイル、他のタイプのスクリプトなどの既知の形式です。

ファイル保護ルールを使用すると、.JS ファイルと他のスクリプトがユーザによって使用されないように防止するルールを設定できます (これはブラウザでユーザが JavaScript を使用することを制限しません)。スクリプトの使用をブロック (ほとんどのユーザは使用する必要がありません) すると、この攻撃ベクトルの大部分を解消できます。

ほとんどの場合、ユーザはコンピュータでスクリプトを実行する必要がありません。ただし、場合によっては、合法的なサードパーティ アプリケーションがスクリプトを実行する必要がある場合があります。このため、ファイル保護ルールを学習モードで使用することをお勧めします (例: アプリケーション動作モードを学習に設定する)。このモードでは、EPS エージェントは、スクリプトを実行しているアプリケーションを学習し、ブロック モードに変更された時点で使用をブロックしません。

たとえば、ファイル保護ルールを使用すると、[WSCRIPT と CSCRIPT が *.JS ファイルを実行することを許可しない] ルールを構成できます。施行されると、ユーザは Microsoft スクリプト エンジン (WSCRIPT/CSCRIPT) を使用して .JS ファイルを実行できません。必ず [信頼できるファイルがルールをバイパスする] オプションを有効にして、WSCRIPT を使用して検出されたアプリケーションのこの保護をバイパスし、学習期間中に .JS ファイルを実行するようにします。

実行チェーンとインターネット発生ブロック

2つの新しいオプションが2017.1でファイル保護ルールに追加され、スクリプトが zip ファイル内でダウンロードされた場合でも、ユーザがブラウザまたはメール アプリケーションからスクリプトを実行できないようにします。

  • プロセスが実行チェーンにある場合は適用する
  • インターネットからダウンロードされたファイルにのみ適用する

[プロセスが実行チェーンにある場合に適用する] オプションが有効な場合、監視されたは「実行のチェーン」のプログラムです。たとえば、ユーザが Chrome を実行し、Chrome からダウンロードされた .JS ファイルを開くとき (Chrome によってダウンロードされた後にユーザが .JS ファイルをダブルクリックします) には、実行のチェーンは Chrome > WSCRIPT > .JS です。このオプションが有効になると、[監視されたプログラム] は Chrome、[保護されたファイル] は *.JS にすることができます。これにより、Chrome から実行される JS ファイルがブロックされることが保証されます。

2017.1では、ブラウザまたは電子メール アプリケーションからスクリプト実行を防止するための新しいすぐに使えるファイル保護ルールもあります。このルールは、定義されたブラウザとメーラーのセットが CMD、CSCRIPT、WSCRIPT、PowerShell を実行できないようにします。ブラウザまたはメール アプリケーションによるスクリプト実行の試行をブロックします (これは Web サイトの一部としてブラウザで実行される JavaScript ではなく、ブラウザ外で実行されるスクリプトにのみ適用されます)。

スクリプトが zip ファイルに圧縮され、ユーザが標準の Windows ZIP 展開ツール (サードパーティ製のアプリケーションではないもの) を使用して zip を展開する場合は、[プロセスが実行チェーンにある場合に適用する] を使用してもスクリプトの実行がブロックされない、1つの一般的な状況です。ただし、ユーザが WINZIP で開く場合、このルールは添付ファイル zip ファイルをブロックし、zip ファイル内のスクリプトを実行します。

上記の問題を解決するため、[インターネットからダウンロードされたファイルにのみ適用する] という2つ目のオプションがあります。既定では、ブラウザによってダウンロードされるすべてのファイルには、[インターネットからダウンロード済み] というフラグがブラウザによって設定されます。このフラグは、ファイルがコピーされる場合でも保持されます (このフラグは NTFS ファイル システムにのみ適用されます)。このオプションを有効にすると、ルールはこのフラグが有効なファイルにのみ適用されます。

新しいすぐに使えるルールはこの機能を使用して、ブラウザによってインターネットからダウンロードされたファイルのスクリプト実行を防止します (「ダウンロードされたスクリプトへのアクセス防止」)。ユーザがインターネットから zip ファイルをダウンロードするときには、zip にスクリプト (.BAT、.CMD、.JS、.VBS) が含まれる場合、標準の Windows zip アプリケーションを使用して zip ファイルを展開し、ファイルがディスクに保存されて後から展開された場合でも、スクリプトが実行されないようにします。

ファイル保護ルールで実行チェーンまたはインターネット オプションを有効にするには
  1. [ツール] > [セキュリティと準拠] > [エージェント設定] の順にクリックします。
  2. [エージェント設定] > [個人エージェント設定] > [セキュリティ] > [エンドポイント セキュリティ] の下のツリーで、[アプリケーション ファイル リスト] を右クリックして [新規] をクリックするか、既存の設定をダブルクリックします。
  3. [既定のポリシー] ページで、修正および編集するアプリケーション コントロール設定を選択します。
  4. [ファイル保護ルール] ページで、任意のルールを修正または追加します。
  5. ルール構成ページに、[プロセスが実行チェーンにある場合に適用する] オプションと [インターネットからダウンロードされたファイルにのみ適用する] オプションが表示されます。