適用対象: WatchGuard Advanced EPDR、WatchGuard EPDR、WatchGuard EDR および WatchGuard EDR Core。
Windows ARM システムでは、エクスプロイト対策技術を使用することができません。使用可能な機能はプラットフォームごとに異なります。詳細については、次を参照してください:Endpoint Security でサポートされているプラットフォーム別の機能。
ワークステーションとサーバーの設定プロファイルの高度な保護設定で、コード インジェクション保護を有効化します。コード インジェクションとは、アプリケーションに悪意のあるコードを挿入し、そのコードがアプリケーションによって解釈または実行されるタイプの攻撃を指す一般的な用語です。悪質なコードは通常、データ フローを操作するように設計されています。これが、機密性の損失やアプリケーションの可用性の低下につながります。
コード インジェクション保護を無効化すると、以下に影響するプロセスでこれが無効になります。
- エクスプロイトの検出とコード インジェクション
- 高度な IOA
- PowerShell で使用される高度なセキュリティ ポリシー
コード インジェクション保護を有効化し、パフォーマンスまたは互換性の問題が発生する可能性のあるプロセスの例外を追加することが勧められます。また、脆弱性なドライバを検出する トグルを有効化して、悪用される可能性のある脆弱なドライバを検出する必要があります。
Caution: WatchGuard EDR または EDR Core を新規アカウントに割り当てる際に、そのアカウントにワークステーションとサーバーの設定プロファイルが割り当てられていない場合は、すべてのグループに割り当てられる既定のプロファイルでエクスプロイト対策保護が無効化されます。
エクスプロイトのブロックと検出
エクスプロイト対策保護により、ユーザーのコンピュータ上のアクティブ プロセスで検出された脆弱性を悪用する試みが自動的にブロックされます。
ネットワーク コンピュータでは、バグを含め、信頼済みプロセスが実行されると考えられます。これらのプロセスは合法ですが、ユーザーや他のプロセスから受信したデータがプロセスで正しく解釈されないことがあるため、脆弱でもあります。脆弱なプロセスが、ハッカーからの悪質な入力を受け取ると、誤動作が発生する可能性があります。そうすると、攻撃者は、脆弱なプロセスで管理されているメモリ領域に悪質なコードを挿入できるようになります。挿入されたコードにより、プログラムされていないアクションが侵害されたプロセスで実行され、コンピュータのセキュリティが侵害される可能性があります。
Endpoint Security に含まれているエクスプロイト対策保護により、ユーザーが実行する脆弱なプロセスに悪質なコードを挿入する試みが検出され、検出されたエクスプロイトに基づいてこうしたコードが無効化されます。
エクスプロイトのブロック
Endpoint Security により、進行中のインジェクションの試みが検出されます。インジェクション処理が完了しないため、対象のプロセスは侵害されておらず、コンピュータに対するリスクもありません。影響を受けたプロセスを終了することなく、またコンピュータを再起動することなく、エクスプロイトが無効化されるため、影響を受けたプロセスからデータが漏洩することがありません。管理者が構成した設定に基づいて、標的となったコンピュータのユーザーにブロック通知が送信されます。
エクスプロイトの検出
Endpoint Security では、インジェクションが発生した後にこれが検出されます。この時点で脆弱なプロセスにはすでに悪質なコードが含まれているため、Endpoint Security は、そのプロセスがコンピュータのセキュリティを脅かす可能性のある動作を行う前に、プロセスを終了させる必要があります。エクスプロイトの検出時点から侵害されたプロセスが終了するまでの時間に関係なく、Endpoint Security はコンピュータが危険にさらされていたことを報告します。プロセスが停止されるまでの時間およびマルウェアの種類によって、リスクのレベルが異なります。
Endpoint Security では、攻撃の悪影響を最小限に抑えるために侵害されたプロセスが自動的に終了されるように設定すること、またはプロセスを終了してメモリから削除することをユーザーに促す通知が発信されるように設定することができます。この場合、ユーザーは侵害されたプロセスを終了する前に、またはコンピュータを再起動する前に、自身の作業や重要な情報を保存することができます。侵害されたプロセスを終了できない場合は、ユーザーにコンピュータの再起動を促すプロンプトが表示されます。
脆弱なドライバのブロック
脆弱なドライバとは、脅威環境で悪用されたことのある脆弱性を持つドライバを指しています。これには、セキュリティ上の欠陥がある古いドライバが含まれる場合があります。
正規のベンダーが提供しているドライバにも、脆弱性が含まれている場合があります。コンピュータを感染させること、またはセキュリティ ソフトウェアを無効化することを狙うマルウェアによって、その脆弱性が悪用される可能性があります。こうしたドライバ自体は悪質ではなく、セキュリティ上の脅威を考えることなくコンピュータにインストールすることができます。したがって、最初からこれがマルウェアとして検出されるわけではありません。オペレーティング システムの起動時にドライバが読み込まれる場合を除き、エクスプロイト対策により、脆弱なドライバの使用がブロックされます。