 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
| Home > SecuTool > Microsoft AntiSpyware | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
| Home > SecuTool > Microsoft AntiSpyware | |||||
マイクロソフト謹製のAnti-Spywareツールを紹介する。もともとはMicrosoftが買収したGiant社のツールで有償の製品だ。この記事を書いている現在はベータ版の配布であり、今後正式版が無償で提供されるのか、日本語化が行われるのかは不明。
Downloadはhttp://www.microsoft.com/athome/security/spyware/software/default.mspxから行う。
動作環境はWindows 2000のProfessionalとAdvanced Serverを含むサーバ系、XP、2003である。Windows9x系は対象外となっている。
はっきり言って「高機能」な製品である。そのため操作する画面も多く、またインターフェイスの設計もよくないので、順序立てた説明が難しい。我慢して見て欲しい。
インストールはオプションも無く、インストール先のフォルダを指定するだけで終わる。
インストール後、最初の起動で4ステップの簡単な設定を行う。
左図の画面で「Continue」をクリックする。
4つのステップを順に説明する。ここで設定する内容は後でも変更可能なので、あまり気にすることは無い。
 |
最初は「自動Updateを有効にするか?」の指定。ここは「Yes」でよい |
 |
常駐保護機能の設定。無償で提供されるAnti-Spywareで常駐保護があるのはこの製品だけかな?ここも「Yes」で有効にする |
 |
「SpyNetコミュニティーに参加するか?」の設定。未知のSpywareデータの提供や駆除について話し合うらしい。どちらでもよい |
 |
最後に「すぐにクイックスキャンを開始する」の指定。 とりあえず最初はスキャンしておこう。 その下にある「Also Recommended」は「毎日AM2時にスキャンする」の指定で、とりあえずチェックしておく。時間はあとでも変更可能 |
自動Updateを指定すると、ただちにUpdateが開始される。
定義ファイルが古いから今すぐUpdateしろ!という内容の表示。Downloadモジュールに最新の定義ファイルは含まれていないらしい。
最近、Setupモジュールに最新定義ファイルを同梱しないで、インストール直後にUpdateさせるのが流行のようだ。
ちなみにUpdateデータを取得する先は「www.spynet.com」でhttpで取得している。
Updateが開始されると最初に定義ファイル、次にプログラムの変更・修正を取得する。
これで準備完了。続いてクイックスキャンが開始される。その前に画面を一度見ていただこう。MSのAntiSpywareはこんな画面である。
左にはステータスが表示され、右にはコマンドボタンが3つ並んでいる。上から順に
「スキャン」
「常駐保護機能」
「拡張ツール」
である。
ここでコマンドボタンを押すと各機能画面に移動する。
左のステータス表示は各設定へのリンクがあり、上から順に
| Last Scan | スキャン画面 |
| Last Scan Result | 検知アイテムの表示(隔離部屋ではない) |
| Scan Schedule | スキャンスケジュール設定画面 |
| Real-time Protection | 常駐保護機能の設定画面 |
| Spyware Definitions | 手動Update |
| AntiSpyware AutoUpdater | 自動Update設定画面 |
となっている。
この左側のステータス表示が邪魔である。初心者にも判りやすいようにとアイコンで表示しているのだろうが、画面構成に洗練されたデザインは感じられないし、この画面に戻ってくることもできない。つまり「使いにくい」のである。
通常の画面では上部に左図のようなメニューとコマンドボタン、下部にステータスと各コマンドがある。
メニューで重要なのは「Tools」のところ。ここでスキャンや常駐保護の細かい設定ができるようになっているのだが、こまかく説明すると余計にわかりにくいので、操作の順に説明することにする。
インストール直後のスキャンはコマンドボタンをクリックしなくても勝手に開始するのだが、通常はスキャンのコマンド画面から実行する。
スキャンの実行は左側の「Run Scan Now」をクリックする。
中央には前回スキャンしたときのステータス、下にはスケジュールの設定。右側に発見したSpywareの数や定義ファイルの日付などが表示されている。
では「Run Scan Now」をクリックしてスキャンを開始する。
 |
メモリーのスキャン中の表示 |
 |
スキャンはファイルのスキャンとレジストリのスキャンの2フェーズで行われる。左図はファイルのスキャンのときの表示。 エクスプローラでファイルをCopyしているときのように書類がひらひらと飛んでいく |
 |
レジストリのスキャンでは緑のブロックの絵に変わる。 下にある「Detected Spyware on your system:」に発見されたSpywareが表示される。 Ad-AwareとSpybotで検出されなかったSpywareの残骸をちゃんと検出している。 |
スキャンが終わると結果が表示される
ダイアログで表示されるスキャンのサマリー。上から順に
「発見したアイテム数」
「スキャンしたメモリー上のプロセス数」
「メモリー上のプロセスで見つけたSpywareの数」
「スキャンしたファイル数」
「ファイル内で見つけたSpywareの数」
「スキャンしたレジストリのキー数」
「レジストリ内で見つけたSpywareのキー数」
である。ここではファイル上で1つ、レジストリに7つの痕跡があったと報告されている。
その下にあるのはスキャンの日付・時間と
「結果表示を見る」ボタンである。
一番下のチェックは
「今後スキャン後にこの表示を行わない」
である。
結果表示は一覧と、右側に詳細情報が表示される。
画面が大きいので、それぞれのパートに分割して説明する。
最近はブロードバンドな方が多いようだが、低速ダイヤルアップ(AirH')をいまだに使用している筆者は大きな図は時間がかかり辛いのだ。
一覧では発見されたSpywareの一覧と、アクションの指定が可能になっている。
また「+」をクリックすると発見したアイテムの一覧が表示される。右端は脅威レベルで、右に赤バーが延びるほど危険度が大である。
アクションは
「Ignore」:今回は無視
「Quarantine」:隔離部屋へ移動
「Remove」:削除
「Always Ignore」:今後も無視
から選択する。
右側にはアイテムの詳細な説明が表示される。
ここでは
「CommonSearch VCatch」が識別名
「Type」:タイプ。ここではSpyware
「Threat Level」:脅威レベル。ここではHigh
「Author」:Spywareのメーカまたは配布会社
「Description」:簡単な機能の説明
「Advice」:取るべき処置が書いてある。ここではハイリスクなので削除したほうがいいよと親切な内容だ。
次動作の指定は2つの指定がある。
「Continue」はアクションで選択した処理の実行。
右側の「Create restore point」は復元ポイントの作成である。
Spywareは発見したもの全てが「悪意のあるプログラム」とは限らないので、削除するとよく利用するプログラムが動かなくなるケースもある。事前に復元ポイントでバックアップを作成するのが望ましい。
「Continue」をクリックするとダイアログが表示される。
「Yes」:削除や隔離部屋への移動などのアクションの実行
「No」:アクションの取り消し
その下にある「Send to SpyNet」は発見したSpyware情報の送信である。
この後2回ダイアログが表示される。「ブラウザの情報を元に戻すか?」という問い合わせと「駆除しました」という動作完了報告でる。
最後にスキャンのオプション設定。
スキャン画面の「Run Scan Now」の下にある「Scan Options」をクリックするとスキャンの簡単なオプションが設定できる。
上から
「クイックスキャン」
「フルスキャン」
「スキャンの設定保存」
で、フルスキャンの設定には
「メモリーをスキャン」
「ドライブ、フォルダのスキャン」
「フォルダのディープスキャン」
である。
Real-time Protectionが常駐保護の設定。
常駐保護には3つの機能がある。
「インターネット保護機能」
「システム保護機能」
「アプリケーション保護機能」
それぞれ、単独で有効/無効の設定も可能だし、それぞれの機能のさらに下位の機能(Checkpointと呼ぶ)ごとに有効/無効の設定もできる。
各常駐保護機能にマウスカーソルを置くとバルーンでメニュが表示される。
「Internet Agent」を例にとると
「Manage Internet Agent settings」:各チェックポイントの設定
「Activate」:Internet Agent機能を有効にする
「Deactivate」:Internet Agent機能を無効にする
である。
機能を簡単にまとめると
| インターネット保護機能 | IEなど正規のプログラムとSpywareのインターネットへの接続、Proxyの設定変更、ダイヤルアップ、信頼済みサイトへの登録、Winsockレイヤサービスの変更、TCP/IPの設定変更などインターネット関係の設定変更を監視する |
| システム保護機能 | レジストリの変更、拡張子の関連付けの変更、iniファイルの変更、hostsファイルの変更、スタートアップの変更などシステムファイルの変更を監視する |
| アプリケーション保護機能 | IEのブラウザヘルパーオブジェクト、ホームページ、ツールバーのインストールや設定変更、ActiveXのインストールスタートアップレジストリの変更などを監視する |
次に各Checkpointの設定を見ておこう。「Manage 〜 Agent settings」をクリックする
左側にはまたもや常駐保護機能を有効/無効を設定するリンクがある。「Deactivate」と「Activate」の意味は上図と同じ。
各常駐保護機能に含まれるCheckpointを個別に有効/無効の設定を行うには真ん中の機能一覧から、有効/無効にしたい機能を選んで、右下の「Deactive
Checkpoint」をクリックする。
通常は何もDeactiveにする必要は無い。
常駐保護機能が出す警告を示しておく。青が危険だと判断されない警告で、赤が危険だと思われる警告である。緑の警告は"注意"ということだろうか?緑の警告は表示後しばらくすると消えてしまう。
警告は画面の右下に表示される。
警告の内容が詳しく書いてあるのだが、これでは初心者は判断できないだろう。
Shell Browserうんぬんを検知したという内容だが、下にボタンがあり
「Yes」:許可する
「No」:許可しない
から選択できるようになっている。
またこの内容をSpyNetに送信もできるらしい。
表示される内容は安全な「青」と同じだが、ボタンが「Allow」と「Remove!」になっていて、削除しろ!と言っている。
ここで「Remove」をクリックすると削除処理が実行され、ファイルと関連するレジストリなどの検査も勝手に動くようだ。
・常駐保護機能のログ
メニューから各常駐保護機能のブロックLogを表示できる。また全てのブロックlogも表示可能。
ログの変更は真ん中の上にある「Filter by type:」で見たいログに変更する。フィルタ無し(All
Agents)で全てのブロックログの表示になる。
ここではActiveXのDownloadをブロックしたときのログで、右下にある3つのアイコンのうち、上の2つが
「Un-lock item」:ロックの解除(Downloadの再許可)
「Permanently remove item」:一時的にアイテムの削除
である。
ツールとして3つの機能が提供されている。(メニューからは4つ選択できる)
| System Explorer | ActiveXやIEの追加モジュール、hostsファイルなどシステムの設定情報の表示と変更 |
| Browser Restore | IEの設定の初期化(ブラウザハイジャックによる設定変更を修復する) |
| Tracks Eraser | 開いたファイルの履歴や実行ファイルの履歴などの削除 |
ツールはそれぞれアイコンをクリックして実行する。
提供されているツールは強力な編集、復元機能を持っているのでよく理解してから使用しないとWindowsが正常に動作しなくなる恐れがある。
・System Explorer
ここで情報の参照と設定が可能項目は上から順に
「ダウンロードしたActiveX」
「実行中のプロセス」
「スタートアップ・プログラム」
「IEのBrowser Helper Object」
「IEの設定」
「IEのツールバー」
「Hostsファイル」
「Winsockのレイヤーサービスプロバイダ」
「シェル実行のフック」
である。
どんなものかは実際の画面を見ると分かりやすい。画面を見ても分からないときは設定を変更すべきではない。
例として「Downloaded ActiveX」を見ることにしよう
ダウンロードしたActiveXの一覧が左側にあり、詳細な説明が右に表示されている。
不審なActiveXを選択して、右下の「Block ActiveX」をクリックすると、そのActiveXは実行できなくなる。
・Browser Restore
ブラウザハイジャックによって変更されたIEの設定を元に戻すツール。
上のSystem ExplorerでもIEの設定は変更可能だが、こちらのツールはOSをインストールした直後の初期状態に戻す機能だと思えばよい。
スタートページや検索ページの設定などたくさんあるが、戻したい項目の左側にチェックを入れて、下にある「Restore」ボタンをクリックすると設定が戻される。
表示は左から
「設定項目」
「現在の設定値」
「元の設定」
である。当然、現在の設定値が元の設定値で置き換えられるということだ。
・Tracks Eraser
Ad-AwareのMRUのようなもの。
削除したい項目にチェックを入れて「Erase Tracks」をクリックする。履歴が無い項目はグレーになって選択できないようになっている。
右下の「Remenber checked tracks」は現在のチェックした項目を記憶させるときにチェックを入れる。毎回削除する履歴が決まっているときにはチェックを入れるとよい。
削除対象となるアプリケーションはMicrosoft社製のものが主で、サードパーティのものは少ない。
・Advanced File Analyzer
メニューにはあるが、アイコンは無い不思議な取り扱いをされているツール。
機能としてはファイルの情報を見るだけのツール。
「Browse」をクリックして見たいファイルを選択すると、下に情報が表示される。
表示内容は
ファイル名
製造メーカ名
サイズ
バージョン
日付(作成・最後のアクセス・更新)
MD5
である。
このツールの使い道は、ファイルが改ざんされた疑いがあるときに情報を参照するのだと思われる。
なぜアイコンが無いのかは不明
オプションは6つあり、左のアイコンをクリックすると、それぞれの設定可能なオプション項目が表示される。
最初は自動Updateの設定。設定可能な項目は上から順に
「自動Updateを有効にする」
その下には間隔と時間が指定可能で
「毎日」、「PM1時」にUpdateを行うといった設定を行う
その下には
「更新定義ファイルを自動適用するか」
「プログラムのアップデートを自動適用するか」
である。
次は常駐保護機能の設定
ここでは常駐保護機能の設定を行う。上から順に
「Windows起動時に常駐保護機能を有効にする」
「Spywareのインストールや実行を防止するSpyware脅威保護機能を有効にする」
一番下がスクリプト保護機能の設定で
「スクリプトの実行時に問い合わせを表示する」
「自動で防止する」
から選択する
次は警告の設定
警告の表示は2種類で、上から順に
「危険なシステム変更を警告する」
「安全だと知られている変更時にも警告する」
で、安全な変更でも警告を表示できる。
つぎはSpyNetへの接続の設定
SpyNet自体がよく分からないが、掲示板などでSpywareの判定や駆除方法を討論するところらしい。
このチェックはどちらでもよい。
スキャン時の設定
スキャン結果の集計ダイアログの表示をするか?という項目と「常に無視(Always
Ignore)」を選択した項目を一覧から削除するボックスがある。
最後に一般的なオプションの設定
ユーザモードは
「上級者向け」
「初心者向け」
の2種類から選択する。初心者モードではアクションやオプションに制限が加えられるらしい。
下の2つは
「技術的な情報を表示する」
「システムタスクトレイのアイコンを隠す」
である
ここまで設定する必要があるのか?いままでAnti-VirusやFirewallで中途半端な製品(機能)を出してきたMicrosoftが買収した会社の製品をそのまま出してきたので、とても高機能だが初心者には優しくない製品になっている。
もっと画面の構成を単純にするか、複数の製品に分けたほうがいいのではないかと思う。
この製品が普及するか?正直な感想としては「ちょっと無理なんじゃないか」と思う。製品自体は多機能で上級者でも満足できる製品だが、「レジストリエディタを使えば何でもできるから使え!」と言っているように感じるのは筆者だけだろうか。
Anti-Spywareツールは両刃の剣だ。簡単にレジストリも変更できるし、システムのDLLも削除できる。削除が原因でシステムが不安定になっても復旧の手段が提供されているが、初心者に隔離部屋からの復旧や復元ポイントの復旧が使いこなせるか疑問だ。