行く面積
メーンメニュー 行く
本文 行く

 ランサムウェア対策ソフト  AppCheck


ある日突然PCをロックされたら 元に戻すために身代金を払いますか? ランサムウェア被害を予防する - AppCheckある日突然PCをロックされたら 元に戻すために身代金を払いますか? ランサムウェア被害を予防する - AppCheck

製品カタログ無料版申し込み
(5ライセンスまで無料です)
お問い合わせ

AppCheckはあなたのPCをランサムウェアから守ります

ランサムウェアに感染すると、PCが操作できなくなったり、ファイルが暗号化され開けなくなったりします。さらに、元に戻すための身代金(ランサム)の支払いを要求されますが、たとえ支払ったとしても元に戻る保証はありません。

ランサムウェア対策ソフトAppCheck(アップチェック)とは

従来のウイルス対策ソフトは、発見したウイルスのサンプルを分析して、その特徴をデータベースに登録後、ユーザに配布して各端末でその特徴にマッチするかどうかを判断してランサムウェアを含むウイルスの検出を行う方法が一般的でした。しかし、この方法の場合、発見したウイルスのサンプルがなければ検出することができません。つまり、新型のランサムウェアは発見することができませんでした。

また、様々な亜種を含むウイルスをパターンファイルに追加する度にデータベースファイルが大きくなり、ダウンロード時間の長時間化、メモリ使用量増大、通信帯域の負荷増大など、様々な問題がありました。

AppCheckはウイルスパターンファイルを使用しません。 ランサムウェアの特徴を調べるのではなく、状況認識技術により毀損されるファイルの変化をリアルタイムで検出します。この技術により、検出用のウイルスパターンファイルを使わずに、ランサムウェアを検出することができ、未知のランサムウェアにも対応することができます。

世界的に猛威を振るうWannaCryやその亜種の検出・遮断にも対応しています。更に、万が一ランサムウェアにより重要なファイルが暗号化されてしまったとしても、AppCheckのリアルタイムファイルバックアップ・復元機能で、ファイルを元の状態に戻すことができます。

AppCheckの主な機能

  • ランサムウェアの検知・遮断機能 未知のランサムウェアに対応。新型ランサムウェアでも状況を認識し遮断。
  • 毀損行為遮断 重要ファイル/フォルダを保護。ランサムウェアの毀損行為を検知し遮断。
  • リアルタイムバックアップ・復元機能 ファイルのリアルタイムバックアップ・復元機能搭載。万一、ランサムウェアに感染してしまった場合にも安心。
  • MBR保護機能 重要ファイルの暗号化だけではなくPCを起動不能にするランサムウェアにも対応。
  • 他社製品との共存 これまでの資産を無駄にせず、アドオンすることで新しい脅威に対するセキュリティを強化。
  • パターンファイル不要 低いPC負荷率。動作が軽いので実務に影響を与えません。
  • エクスプロイトガード機能 マイクロソフトオフィスなどのアプリケーションの脆弱性を突く、悪意のある攻撃からPCを保護します。

AppCheckはここが違う!

  • AppCheckの強み

    AppCheckは他社製品に比べ以下のような強みがあります。 以下のメリットは新技術である状況認識技術によって可能になっています。

  • 状況認識技術搭載!

    AppCheckはランサムウェアの特徴を調べるのではなく、状況認識技術によりファイルの変化をリアルタイムで検出し、ランサムウェアによるファイル毀損をブロックします。

    状況認識技術とは、周辺の状況や環境等のすべての情報を総合して認知し、その状況に最適な対応を行う技術です。

    従来の対策方法ではランサムウェア自体、または、振る舞いの特徴を検出するなど、ランサムウェア自体に注目していましたが、状況認識技術では、ランサムウェアが変更・毀損するターゲットであるファイル自体に注目しています。例えば、ファイルの変更箇所、速度、頻度などのファイルオペレーションを監視、記録してランサムウェアの検出・遮断・隔離、および、ファイル変更箇所の復元を行っています。

  • エクスプロイトガード機能

    エクスプロイトガードは、ランサムウェアに限らず脆弱性を利用したマルウェアによる攻撃を強力に防御します。

  • リアルタイムバックアップ・復元

    AppCheckは、ファイルをリアルタイムでバックアップして正常なファイルを保護します。(バックアップファイルは一時バックアップ後に自動的に削除されます。)また、ファイルの変更や削除などの毀損行為を記録しているので、その行為をたどることでファイルを復元することができます。

  • 指定ファイルのバックアップ

    AppCheckは、指定したファイルを定期的にバックアップして正常なファイルを保護します。自動バックアップは履歴管理機能により、指定ファイルを指定した数(最大10個まで)だけバックアップすることができます。バックアップ先はネットワークフォルダにも対応しています。

  • 共有フォルダのセキュリティ機能

    ネットワーク共有フォルダは便利ですが、ランサムウェアに感染すると一気に感染が広がってしまうリスクを抱えています。 しかし、AppCheckがインストールされたPCが共有設定をしているフォルダはAppCheckの感染防止機能、ネットワーク遮断機能によって守られますので、 AppCheckがインストールされていない端末がランサムウェアに感染したとしても共有フォルダ内のファイルは保護されます。また、共有フォルダ経由による ランサムウェア感染の拡大を遮断します。

  • 動作が軽く、他社ウイルス対策ソフトとの共存が可能

    AppCheckはパターンファイルを使用しないため頻繁に発生するパターンファイル更新が必要なく、また動作も軽いため通常業務に影響を与えません。他社ウイルス対策ソフトとの共存が可能ですので、今の環境を変えることなく追加してお使いいただけます。

  • 中央管理(CMS)

    オプション

    中央管理(CMS) - 機能, 説明
    機能 説明
    一括ポリシー設定 保護するためのポリシーを一斉に配布できるため効率的な管理・運用が可能。
    バックアップ機能 様々なバックアップオプションによりネットワークドライブなどへファイルをバックアップ可能。
    モニタリング ダッシュボード、ログ管理、リアルタイムでのランサムウェア検知情報の確認が可能。
    レポート 期間別報告書、統計およびログデータを提供し簡単にレポートの出力が可能。
  • 中央管理(CMS)提供形態
    中央管理(CMS)提供形態 - 区分, クラウド
    区分 クラウド
    ウェブベース管理コンソール最低ユーザ数
    サーバ、ストレージの用意 不要
    中央管理(CMS)提供形態 - 動作環境
                     動作環境
    AppCheck Pro Windows7 以降 (32bit/64bit)
    AppCheck Pro For Windows Server Windows Server 2008 R2 以降
    CPU Intel 1.6GHz 以上
    メモリ 1GB 以上
    HDD 2GB 以上の空き容量
    ブラウザ

    ・Microsoft Edge

     ・Google Chrome

    ・Mozilla Firefox

よくあるご質問

アンチウイルス対策のほかにランサムウェア対策が必要な理由は何ですか?

従来のアンチウイルスソフトでは未知のランサムウェアに対応することは難しくなっています。AppCheckなら未知の ランサムウェアの検出にも力を発揮します。またバックアップ、復元機能により万一の場合にも安心です。

ランサムウェアで正常なプログラムを遮断しませんか?

正常なプログラムであっても、怪しい動作をすれば遮断されることがあります。その場合は検出されたファイルを 信頼できるファイルとして登録すれば、それ以降は問題のないファイルとして処理されます。

AppCheckが検出したランサムウェアは自動的に処理されますか?

はい。検出されたランサムウェアは自動的に遮断、削除されますが、状況により完全に削除できない場合があります。

検疫フォルダに入ったファイルを復元できますか?

はい。検疫フォルダからファイルを選び復元することができます。

AppCheck、AppCheck Pro、AppCheck Pro for Windows Serverの違いは何ですか?

AppCheckには2つの製品があり、クライアントOS向け製品を「AppCheck Pro」と呼びます。そして、サーバOS向け製品を「AppCheck Pro for Windows Server」と呼びます。そして、「AppCheck」はこれらの製品の総称です。

AppCheckは使用権(ライセンス)を購入するのでしょうか?

はい。標準では1年間のサブスクリプションライセンスの購入となります。複数年のご購入についてはお問い合わせください。

ライセンスはいつから有効になりますか?

アプリケーションインストール後、発行されたライセンスをアプリケーションに登録してから有効になります。

AppCheck Pro(クライアント版)だけでファイルサーバも守ることができますか?

クライアント端末のネットワークフォルダ(ドライブをマウント)はAppCheck Proの機能で守ることができますが、その他のネットワークフォルダは守ることができません。ですから、ファイルサーバなどを守るには、サーバ向け製品「AppCheck Pro for Windows Server」をお使いください。

価格表をもらえますか?

価格はオープンとなっています。お見積りのご依頼は弊社または販売店までお知らせください。

PC負荷率はどうですか?(重くなりませんか?)

既存のセキュリティ製品のようにパターンファイルや照合DB等を使用しないため低PC負荷率です。

Futuremark社のPcmark®7でワクチン別システム負荷テスト結果 数値が大きいほど低負荷率
アイテム テストPC詳細仕様
CPU Intel Core i5 4200U 1.60Ghz (Dual)
Architecture Haswel ULT
Memory DDR3 4GB (DDR3 PC-10600)
Graphics Intel HD Graphics 4400
OS Windows 10 Home (64bit)
Disk SSD HDD 128GB
ランサムウェアの攻撃(暗号化)対象ファイルを退避させる領域はどのくらい必要ですか?

2GB以上(推奨10GB以上)です。
↪暗号化対象ファイルの全ての暗号化前にランサムウェアを駆除
↪非圧縮での退避(リアルタイムバックアップ)となります。
※退避(リアルタイムバックアップ)フォルダはデフォルト「C:\ProgramData\CheckMAL\AppCheck\RansomShelter」となっております。

過検知・誤検知対策はありますか?

ユーザ指定除外ファイルの設定で可能です。
ユーザ指定除外ファイルで設定します。 ランサムガードによりランサムウェアと検知(遮断)された場合、
検査実行を行わないようにしたいファイルを記述します。(ホワイトリスト)

暗号化ソフトやファイルを一度に大量に書き換えるDB系ソフトをご使用の場合
必ず、ユーザ指定除外ファイルに設定してください。

保護する拡張子を追加できますか?

保護するファイル拡張子を追加できます。

初期登録拡張子以外で守りたい拡張子ファイルがある場合は必ず追加してください。
(AppCheckPro v3初期登録拡張子)
7z,ai,bmp,cer,crt,csv,der,doc,docx,dwg,efi,eps,gif,hwp,jbw,jpeg,jpg,jps,jtd,key,lic,lnk,mp3,nc,odp,ods,odt,ogg,one,ost,p12,p7b,p7c,pdf,pef,pem,pfx,png,ppt,pptxpsd,pst,ptx,rdp,rtf, srw,tap,tif,tiff,txt,uti,x3f,xls,xlsx,xps,zip,cfg,chm,dcm,dotm,dotx,hwpx,rar,xlsb,xlsm

AppCheckProエージェントの守備範囲は?

AppCheckProがインストールされたOSが認識するドライブ

注1:ネットワークドライブの割り当てでマウントしたネットワークドライブ が
ネットワークドライブ保護機能の保護対象です。

注2:WindowsとLinux(NAS)の間のファイル共有の場合、
Samba(SMB)で行われる場合はネットワークドライブ保護機能の保護対象です。
ファイル共有がNFSの場合はネットワークドライブ保護機能の保護対象外です。
注3:\\server\share\file1.docなど、UNCパス入力にてアクセスする経路のファイルについては、
Samba(SMB)方式で接続されているのであれば、「AppCheckProが導入されている該当端末からの攻撃」に限って検知を行います。
注4:ネットワークドライブやUSBなどのリムーバブルディスクドライブの保護を有効にする場合はネットワークドライブ保護、リムーバブルディスクドライブ保護を有効にする必要があります。

注5:AppCheckProがインストールされたPCが電源OFFの場合、ネットワークドライブは保護されません。

PC版GoogleDriveも守れますか?

守れます。
Google Drive(G:)は以下のアイコンのとおり、ローカルドライブとして認識されます。
ローカルドライブなので通常のランサムウェア保護機能で守ります。  

注:本回答は2022年9月の検証結果によるものです。
Google社が「パソコン版Googleドライブ」の仕様の変更(ローカル認識を止める等)をした場合は、
本回答が有効でなくなったり、改めての検証が必要な場合があることを予めご了承ください。

ファイルレスランサムウェア対応は?

対応します。

1.ファイルレスランサムウェアとは
悪意のあるメール等に記載のあるURLのリンク先からアプリケーションを立ち上げpowershell等でコマンドを実行し感染させるものです。

2.ファイルレスランサムウェアの攻撃対象と目的
⑴ 攻撃対象:ファイル
⑵ 目的:ファイルの暗号化

3.AppCheckProがファイルレスランサムウェア対応ができる理由
攻撃元のファイル有無にかかわらず、異常な暗号化プロセスを検知し、稼働するためファイルレスランサムウェアにも対応します。

リアルタイムセキュリティ機能がオフになってしまいますが、対策は?

「コア分離機能をオフにする」ことで対応できます。

1.原因
Windowsのコア分離機能が働いたときにリアルタイムセキュリティが稼働したり、非稼働になったりします。
なお、以下のURLのとおり、コア分離機能は、AppcCheckProに限らず、
メモリの整合性が取れなくなると、アプリケーションの稼働を阻害するなどの問題を起こすことがあります。
そのため、問題が生じたときはOFFにする必要があります。
https://nakedsecurity.sophos.com/2020/03/09/microsoft-turn-off-memory-integrity-if-its-causing-problems/

2.対策
該当社員の方のPCのコア分離機能をOFFにしてください。
手順は以下となります。再起動を伴う作業のため、作業開始の際はExcelなどの全てのアプリケーションを閉じておいてください。
⑴[スタート] > [設定] を選択してください。
⑵以下の画面が出ます。 [更新とセキュリティ] を選択してください。
⑶表示された画面の左側にある [Windowsセキュリティ] を選択してください。
⑷表示された画面内の「Windowsセキュリティを開く」を押下してください。
⑸表示された画面内の「デバイスセキュリティ」を押下してください。
⑹表示された画面内の「コア分離の詳細」を押下してください。
⑺表示された画面内の「メモリの整合性」を「オフ」にしてください。
「オフ」担っていた場合は、画面を閉じ、お手数ですが、メールでご連絡ください。
⑻コンピュータの再起動をしてください。
⑼再起動後、隠れているインジケーター内のAppcCheckProのアイコンを確認してください
⑽AppcCheckProエージェントを開き他のPCと同じものがONであることを確認してください。

「コア分離機能をオフ」にしても改善できないのですが、他の対策はありますか?

AppCheckProの「手動アップデート」を行うことで対応できます。

1.原因
AppCheckProの自動アップデートが何かの理由で失敗したことから、リアルタイムセキュリティ機能がOFFになる場合はございます。
その場合、アップデートファイルの実行による手動アップデートが必要となります。

2.対策
AppCheckProがインストールされている端末内の、以下ファイルを実行頂き、手動アップデートを行ってください。
C:\Program Files\CheckMAL\AppCheck\Update\AppCheckUpdate.exe

※注意点: フォルダ「C:\Program Files\CheckMAL\AppCheck\Update」は、AppCheckProがインストールが行われた直後には作成されておらず、その後自動アップデートが行われる際に初めて生成されます。

ロック設定とはどういう機能ですか?

パスワードを設定し、エージェント側のAppCheckProの設定変更、アンインストールを制限する機能となります。

※「ロック設定」機能がオフになっていると、「オン」設定を推薦する案内メッセージが表示されます。
※CMS中央管理で配布されたAppCheckProバージョンはCMSの「ロックモード機能」により制御されるため、エージェント側に上記の「ロック設定使用」メニューが表示されません。

SMBサーバー保護機能による誤検知の場合、対策は?

「該当IPアドレスのホワイトリスト登録する」ことで対応できます。

誤検知された「遠隔地PCのIPアドレス」をホワイトリストとして登録することで対応できます。
※「オプション」→「CMS許容/遮断リスト」→「遮断されたアドレスリスト」から該当IPアドレスを選択し、「常時許容」クリックしてください。

しかし、ホワイトリストとして追加されたIPアドレスの遠隔地PCがランサムウェアに感染された場合、
サーバーの共有フォルダ内のファイルが暗号化(ファイルの書換によるもの)対象となる恐れがあります。
そのため、該当IPアドレスのPC内にもAppCheckProをインストールし、
該当IPアドレスのPC自体をランサムウェアから守ることを推奨させていただきます。

ランサムウェアのプログラム事態が別のプログラムに配下で動いていたり、別のプロセス配下で動いてる場合、
ランサムウェアの自体のプログラム/プロセスが排他がかかっていてAppcheckにより削除できないのではないか?もしくはプロセスを終了させることができないのではないか?

AppCheckProは、保護対象ファイルが毀損されたら、そのファイルを毀損したプロセスをキルし、強制終了します。削除についてですが、ランサムウェアの中には正常ファイルをファイル毀損に利用するものもあるため、「有効なデジタル署名有無」もしくは「該当ファイルの場所」を確認した上、削除するかどうかを判断します。
※もし、「有効なデジタル署名」を持っているため削除できなかった(遮断のみ)ファイルが、遮断後に再実行された場合はそのファイルがまたでファイル毀損を行う前にプロセスを検知し、一定時間(最大30分)の間プロセス遮断(終了)を続けます。

スマイルERPサーバーへの導入は可能ですか?

導入可能です。

1.「Smile」ファイルの拡張子を「保護するファイル拡張子」に追加
AppCheckProの「オプション」⇒「ランサムガード」⇒「保護するファイル拡張子」に
Smileの重要システムファイルの拡張子を登録してください。

2.誤検知防止(ホワイトリスト登録)
「Smile」製品はMS SQLをデータベースとして使用することから、有償オプションの
「CMSの機能」で、例えば「除外ファイル」に「パス/Microsoft SQL Server
2019\*.exe」の記載方法を登録し、該当フォルダ内(Microsoft SQL Server
2019)のすべての実行ファイル(.exe)を「ユーザ指定除外ファイル」に登録します。
また、「パス\Microsoft SQL Server 2019\sql*.exe」のような記載で、Microsoft SQL Server 2019フォルダ内のファイル名が「sql」から始まるすべてのexeファイルを例外処理する方法もあります。なお、「*符号で登録」 する機能は、「CMS限定の機能」であるため、CMSのないの「AppCheckPro」及び「AppCheckPro for WindowsServer」では、「ユーザ指定除外ファイル」を個別登録することになります。

プロキシサーバー経由でインターネット接続している環境にAppCheckをインストールする場合、AppCheckの通信は、Windows OSのプロキシ設定を参照して自動的にプロキシ経由となるか、Windows OSのプロキシ設定を無視して直接接続となるのか。もし、無視して直接接続となるなら、プロキシ経由の通信が可能となるようにしてほしい。

AppCheckProがインストールされているOSがProxy設定されている場合は、AppCheckProはそのProxy設定(ネットワーク設定)を参照し、通信を行います。OSのネットワーク設定を無視することはございません。

他社製のEPP・NGAV・EDRと同居する構成において、競合した事例はあれば共有いただきたい。

AppCheckProと他社製のEPPの共存事例は多数ございます。 NGAV、EDRの事例は、現在のところCybereasonとの共存テスト事例がございます。 ただし、EDRの場合は該当製品側でAppCheckProをホワイトリスト(例外処理設定)登録が必要な場合がございます。

PC「A」にインストールされているAppCheckProの「ネットワークドライブ保護機能」により保護されているサーバー「B」(AppCheckPro未導入)が、PC「C」からランサムウェア攻撃を受けた場合はどうなるか。

PC「A」のAppCheckProは、共有フォルダとしてアクセスできるサーバー「B」内のファイルを監視しますが、PC「C」からサーバー「B」宛に実行されたプロセスを検知することはできません。そのため、サーバー「B」内のファイルが毀損されたらPC「A」内の退避フォルダにリアルタイムバックアップを行いますが、PC「C」から実行されたプロセスの遮断は行いません。

CMS Cloudのアラーム設定のサイクル仕様について教えてください。

CMS Cloudと連動されているAppCheckPro(エージェント)でランサムウェア攻撃が検知されたら、検知ログがリアルタイムでCMSに送信されます。送信された脅威ログはデフォルト15分(変更可能)ごとにCMS内で集計され、アラーム設定されているメールアドレス宛に感染通知が送信されます。

CMS Cloudから配布されたインストーラーファイルでインストールを行ったところ、 以下のエラーが表示されインストールを進めません。

ファイアウォールまたは一時的なネットワーク問題により、CMS Cloudサーバーとの通信が行われない場合がございます。 大変お手数ですが、以下の手順で再度セットアップ作業をお試しください。

1.CMS Cloudの「エージェント」メニューに、該当サーバエージェントがある場合は削除を行ってくだ

2.約2~30分程経過してから、再度セットアップ作業(インストーラーを配布し、実行)を行ってください。

AppCheckで取得できる端末情報を教えていただけますでしょうか。

以下項目となります。
※CMS Cloudの「エージェント」メニューにてcsvかExcelファイルで取得できるカラム情報と同様

- エージェント固有ID値:インストールされたAppCheckエージェントID値
- 外部IPアドレス
- 内部IPアドレス
- MAC Address
- ホストネーム(デバイス名)
- OSバージョン
- OSプラットフォーム:x64 / x86
- PCオンライン/オフライン状態
- AppCheckインストールバージョン
- AppCheckリアルタイムセキュリティ状態
- AppCheckエージェントに適用されたCMSポリシーID値
- AppCheckエージェントに適用されたCMSポリシーリビジョン
- AppCheckエージェントがCMSと通信を行った最終オンライン時間
- AppCheckエージェントにて記録されたログ情報

プロクシ環境での運用を想定しておりますが、CMS Cloudとの通信のための条件を教えてください。

初回インストール、ポリシー適用、最新アップデートの際に「CMS Cloudサーバーとエージェントの通信」が必要となります。
その際にはCMS Cloudのドメイン、IPアドレス、ポートをオープン(通信許可)する必要がございます。

- ドメイン:jp.cms.checkmal.com
- CMS Cloud IPアドレス(AWS) : 35.72.44.147
- ポート番号 : 443
- オープン方向 : 両方向とも