Dr.Web KATANA

エンドポイントにおいて標的型攻撃、新種・未知のマルウェアから防御する振る舞い検知型マルウェア対策ソフトウェアです。次世代テクノロジー「プロセスヒューリスティック」により、「ゼロデイ」脆弱性の悪用を含む最新の脅威に対して、プリベンティブプロテクション（予防的保護）を提供する非シグネチャー型アンチウイルス製品です。

Dr.Web KATANAは、お使いのアンチウイルス製品では防げない未知の脅威から守るために、プリベンティブプロテクション（予防的保護）を提供するDoctor Webが誇る次世代防御テクノロジーの複合体です。

Видео о работе продукта

利点

• 未知の脅威に対応：既存アンチウイルス製品では防げなかった未知の脅威からの防御・駆除を可能 にします。 — 弊社ラボでは、一日当たり数十万のプログラム検体の解析を実施しており、そのうち数万をウイルスデータベースに追加しています。しかし、追加した定義ファイル（シグネイチャー）は、その時点でウイルス作成者にとっても既知の情報となり、新しいウイルスを作成する際の参考となり、工夫されてしまいます。サイバー犯罪者が最も好んで利用する手段は、一般ユーザーはもちろん情報セキュリティー専門家も未だ解析されてはいない未知の脅威なのです。

  Dr.Web KATANAの「プロセスヒューリスティック」は、既存のウイルスデータベース型（シグネチャー型）/既存ヒューリスティック型手法に検知されないように作成された最新・未知のマルウェアから防御します。

  最新型ランサムウェア、インジェクター型トロイの木馬、ブロッカー型トロイの木馬、「ゼロデイ」脆弱性を悪用する脅威は、システムに侵入する時点ではウイルスデータベースに追加されていないのが現状です。

• システムへの負荷を最小限に抑えています

  ウイルスデータベースに依存しないテクノロジーのDr.Web KATANAは、従来のアンチウイルス製品と違い、システムリソースの消費が最小限に抑えられています。

• 瞬時対応 脅威の挙動をオンザフライで分析し、従来のアンチウイルス製品が検知できない悪意のあるプログラムの実行前に直ちにプロセスを終了させます。 悪意のあるプログラム検知・駆除のために、Dr.Web KATANA は、非シグネチャー型検知法及びクラウド型保護テクノロジーを用いています。システム内の全てのプロセスを掌握し、悪意のあるプロセスに独特な挙動パターンを検出し、それらをブロックします。

詳細

従来の一般的な振る舞い検知/ヒューリスティック手法は、ナレッジベースに追加される正規プログラムの振る舞いをもとに解析をしています。しかし、このような従来のヒューリスティック手法で用いられている挙動パターンはサイバー犯罪者にも既によく知られています。一方、Dr.Web KATANA はリアルタイムに更新されるDr.Webクラウドによる悪意のあるプログラム挙動に関する最新のデータと照合しながら、起動されたプログラムの挙動を瞬時に解析し、脅威を検出・駆除します。

従来の振る舞い検知/ヒューリスティック手法は、さまざまなシステムリソースへの悪意のあるプログラムの要求を監視します。しかし、マルウェアが仕掛けられてからシステムリソースに一切悪意のある要求を出さない、例えば、オンラインバンクへの通常の操作と同様の攻撃の場合、どのように対処すればいいでしょうか？

Dr.Web KATANAは、機密情報を盗んだり、口座からお金を転送するといったプロセスに関連するマルウェアの挙動を監視します。

詳細

• 使い易い : 特別な設定を行う必要がなく、インストールしてからすぐにご利用可能です。
• ユーザーフレンドリー : 様々な保護レベルの設定がデフォルトで用意されています。また、設定をさらに細かく調整できるため、ユーザーのニーズに応じて保護レベルを柔軟に変更・管理すること可能です。
• Offlineスタンドアロンモード : コンピュータがインターネットに接続されていなくても保護が可能となります.
• 様々なOSに対応 Windows XPから 最新の Windows 10まで様々なOSに対応します。
  詳細
• 共存可能 あなたのコンピュータの保護を強化するために、他のアンチウィルスと共存可能です。

• システムのクリティカルなセグメントがマルウェアに改ざんされることから保護します
• 悪意のある、疑わしいまたは信頼できないシナリオ及びプロセスを検知し、それらを停止します
• マルウェア（例えば、ランサムウェア）固有の行動パターンを抽出するために、システム内の全プロセスを監視し、ファイル改ざんを検知することによって、マルウェアによる他プログラムへの進入を防止します
• Dr.Webウイルスデータベースに加えられていない最新の脅威を検出し、駆除します（例えば、暗号化ランサムウェア、インジェクター、ボットネット形成やスパイ活動を狙う遠隔操作される悪意のあるオブジェクト、及びウイルスパッカー）
• エクスプロイトがコンピュータに進入することを防ぎます。エクスプロイトとは、脆弱性（『セロデイ』の脆弱性を含む）を悪用してシステムに侵入しようとする悪意のあるオブジェクトです。このような脆弱性を介してシステムに侵入しようとする試みが検知された場合、Dr.Web KATANAは攻撃対象となったプログラムのプロセスを強制的に終了します

• ブラウザ自体だけではなく、ブラウザのためのあらゆるプラグインの動作を制御し、ブラウザブロッカーから保護します

現在、一般的によく利用されているアプリーケーションを真似するマルウェアをインストールすることが、一番よく悪用されるシステム侵入方法となっています。

これに対しDr.Web KATANAは以下のように対処します。

• マルウェアがディスクのブートセクターを改ざんすることをブロックすることで、コンピュータ上でトロイの木馬などのマルウェアの起動を不可能にします。
• レジストリ変更をブロックすることによってWindowsセーフモードの無効化を防止します。
• 犯罪者が狙う新しいタスクの実行がオペレーティングシステム動作のロジックに加えられることを防ぎます。Windowsレジストリ値の一部をブロックすることによって、ウイルスによるデスクトップ画面の改ざん、あるいはルートキットを用いてシステム内のトロイの木馬の存在を隠そうとする試みを防止します。
• マルウェアが特定プログラムの起動ルールを変更することを不可能にします。
• ユーザーが知らないうちに新しい又は不明なドライバーのダウンロードを防止します。
• マルウェア、及び特定のアプリケーション（例えば、アンチウイルスに対抗するソフト）の自動再生（オートラン）をブロックし、再生するのに必要なレジストリへの登録を防止します。
• 仮想デバイスドライバーを司るレジストリブランチをブロックします。これによって、新しい仮想デバイスのインストールが不可能となります。
• スパイウェアの各コンポーネントとスパイウェアの管理サーバとの間の通信をブロックします。
• マルウェアがシステムサービスの動作を妨げること（例えば、ファイルの標準バックアップコピー作成を邪魔させるなどの行為）を防ぎます。

システムが動作するアルゴリズム

• 悪意のあるコードが脆弱性の悪用を試みることが検知した場合、Dr.Web KATANAは攻撃元のプログラムのプロセスを強制的に終了します。攻撃が他のソフトウェアに存在する脆弱性を介して実行された場合、Dr.Web KATANAはそのソフトウェアのプロセスを終了します。既存のアンチウイルス製品は隔離移動を含めて、攻撃されたアプリケーションのファイルに対して、一切対処はしません。
• 悪意のあるプログラムの動作が防止された通知が表示されます。ユーザーによる操作対応は不要です。
• Dr.Webのイベントログに攻撃の防止についての記録が記載されます。
• Dr.Web クラウドシステムのナレッジデータベースの更新通知を、リアルタイムに受信します。Doctor　Webのアナリストは、新たな脆弱性に即座に対応し、保護アルゴリズムを改善しています。

• デフォルトで最適な保護レベルに設定されています。この保護レベルは、マルウェアに悪用されて、システムリソースに大幅な負荷や改ざんに影響するレジストリブランチのみが保護対象となります。
• 感染リスクが高まる場合、保護レベルを「中」にまで引上げることができます。
• Windowsのクリティカルなオブジェクトへのアクセスを完全に制御したい場合には、保護レベルを「パラノイド」にまで引上げることが可能です。

保護レベルを高めると、Dr.Webウイルスデータベースに入っていないマルウェアの脅威に対して、さらにセキュリティが強化されます。しかし、それと同時に、プリベンティブプロテクション（予防的保護）機能による制御がアプリケーションの起動・動作と競合するリスクが大きくなります。

• 「保護」のタブにあるプロファイルで信頼できるアプリケーションのための柔軟なルールをカスタマイズすることによって、Dr.Web KATANA動作中に他ソフトウェアと競合が発生することを回避できます。各プロファイルには、プログラムがシステムリソースにアクセスできることについて、それぞれの制限を指定することが可能です。
• セルフプロテクション機能：アンチ・アンチウイルスプログラムによる不正な改変や誤った破損から Dr.Web 自体を保護するための設定を行うことができます。セルフプロテクションを有効にする オプションでは、Dr.Web のファイルやプロセスを不正なアクセスから保護します。

設定の詳細について

従来のアンチウイルス製品と違ってDr.Web KATANAにはウイルス定義データベースが含まれていないため、定義ファイルの更新を行う必要がありません。

Dr.Web KATANAの検出アルゴリズムとして、実行ファイル及びプログラムに関するライブラリが採用されています。また、アルゴリズムの定期的な改善とエラー修正のために、アップデートがリリースされます。

マルウェアの行動パターンを解析するには、Dr.Web KATANAは保護するコンピュータ内の定義のみならず、以下の情報が含まれるDr.Webレピュテーションクラウドのデータをも用いています。

• マルウェアのパターンに関するデータ
• ウイルスが入っていないと事前に知られるクリーンなファイルに関するデータ
• 悪用される有名なソフトウェアメーカーのデジタル署名に関するデータ
• 潜在的な脅威の可能性があるプログラム、及びアドウェアに関する情報
• 特定アプリケーションの保護アルゴリズム

Dr.Web KATANAクラウドシステムは、コンピュータ上にインストールされているDr.Webの動作に関するデータ（そのうちに、検出された最新の脅威についての情報）を受信することによって、クラウドシステム内のエラーを適時に修正し、コンピュータに保存されるアルゴリズムを更新することを可能としています。