F-Secure PSB で ウイルス検知を試してみた
みなさま Xin chao !
引き続き、F-Secure PSB を試しています。 今回は、ウイルス検知を試してみます。
F-Secure PSB のインストール手順については、以前のブログをご参照ください。
ウイルス検知のテスト方法
F-Secure PSB Server Protection がインストールされた Windows Server 2016 の EC2 インスタンス上で、EICAR テストウイルスを検知してみます。
EICAR テストウイルスとは何か? については、以下をご参照ください。
EICAR Standard Anti-Virus Test ファイル (EICAR) は、アンチウイルス ソフトウェアのテスト用にEuropean Institute for Computer Anti-Virus Research (EICAR) が開発した安全なファイルです。一般には、次の目的で使用されます。
・アンチウイルス ソフトウェアが正しくインストールされているかを確認する ・ウイルスが検出されたらどうなるかを示す ・ウイルスが検出されたときの内部処理と対応を確認する
お使いのアンチウイルス ソフトウェアでは、実際のウイルスであるかのように EICAR を検出します。
EICAR テスト ファイルを使用したウイルス保護のテスト - F-Secure Community より抜粋
EICAR テストウイルスの入手
EICAR のサイトからテストウイルスをダウンロードすることも可能ですが、URL フィルターや Web セキュリティ対策システムが導入されている環境では、テストウイルスのダウンロードがブロックされる場合もあります。 実は、EICAR テストウイルスの正体は、特定文字列でできたテキストファイルであるため、今回は EICAR テストウイルスを自作してみます。
特定文字列は、以下の URL で確認することができます。
ANTI-MALWARE TESTFILE INTENDED USE - EICAR
EICAR テストウイルスを検知してみた
F-Secure PSB Server Protection がインストールされた Windows Server の EC2 インスタンス上での操作
デスクトップ上に Eicar.txt というテキストファイルを新規作成し、メモ帳で編集します。
EICAR テストウイルスとして判定される特定文字列を記載して、ファイルを保存します。
Eicar.txt ファイルに対して、プロパティを参照するなどのファイル操作を行います。 すると、デスクトップ上の Eicar.txt ファイルは隔離され、F-Secure PSB Server Protection による通知が表示されます。
F-Secure PSB 管理ポータル上での確認
管理ポータルにログインし、[デバイス] - [感染数] を確認すると、隔離されたログが記録されています。
隔離されたファイルを削除する、または、誤検知等のため復元する場合は、メニューから [ファイルを削除] または [ファイルを復元] を行うことが可能です。
また、[レポート] - [脅威] でもログを確認することができます。
ウイルス検知時に、メールによる通知を行うことも可能です。 メニューから [警告の構成] をクリックします。
メールの受信者 (複数登録可能)、メールの言語、および、警告を発生するアクション (≒メール送信のトリガー) を指定し、[保存] をクリックします。
送信されるメールは、以下の通りです。
なお、設定してもメールが届かない場合は、お使いのメールクライアントで迷惑メールとして隔離されていないか、あるいは、使用しているメールサーバーのセキュリティ対策システム等で隔離されていないか、ご確認ください。
以上で、ウイルスが検知され、通知されることを確認できました。
おわりに
今回はセキュリティ対策ソリューションの代表的な機能といえる、ウイルス検知を試してみました。
その他にも F-Secure PSB には様々な機能があるので、引き続き試してみたいと思います。
![[レポート]NGate:NFCを中継してATMから不正引き出しを行う新型Androidマルウェア – CODE BLUE 2024 #codeblue_jp](https://images.ctfassets.net/ct0aopd36mqt/Zons7RQD2xcZVq9pUY8Dp/4d05341e17a1eb3ccf108b25f8044b03/eyecatch_codeblue_2024_1200x630.png)
