AppGuard の3つの基本機能
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/09/19 15:51 UTC 版)
「AppGuard」の記事における「AppGuard の3つの基本機能」の解説
1.ディレクトリ単位でプログラムの実行可否を管理 Windowsでは、システムスペースとユーザースペースという2つの概念が存在する。AppGuardでは、システムスペースは信頼できる領域として、プログラムの実行を許可する領域として定義し、ユーザースペースは信頼できない領域として、プログラムの実行を禁止する領域として定義されている。 本機能による効果:ユーザースペースにおけるドライブバイダウンロード攻撃や、ユーザーによる不正プログラムの起動を防止する。 2.アプリケーションの隔離(Isolation技術) AppGuardのコア・テクノロジーであり「Trusted Enclave」と呼ばれる、”アプリケーションを隔離する”特許技術である。上記1.のシステムスペースで起動するプログラムにおいては、隔離設定を付与することで、レジストリ、メモリ領域、システムスペースへのアクセスが禁止される(プログラム単体の動作には影響はしない)。ウイルス・マルウェアに利用されるリスクが高い、一部のアプリケーション(MSOffice系、cmd.exe、powershell.exe等)については初期設定でこの隔離設定が実装されている。 本機能による効果:コマンドプロンプトやPowerShell操作におけるレジストリ、メモリ領域、システムスペースへのアクセスが禁止されることで、マルウェアによる他プログラムを利用した不正な起動を阻止する。 3.ポリシーの継承(Inheritance技術) 上記2.の隔離設定は、個々のプログラム(親プロセス)に適用されるが、派生する(呼び出す)子プロセス、孫プロセスにも親プロセスのポリシーが継承される。 例えば、マルウェアが実装されているpdfファイルのリンク先が記載されているフィッシングなどの不正なメールを受信した場合、以下のようなStepでの挙動が想定されるが、Step1のOutlook(親プロセス)に適用されているポリシーが、Step4のマルウェアの起動まで継承されることでマルウェアの起動を阻止することができる。 Step1:Outlook(MUA製品)等でメール本文内のリンク先を開く。 Step2:Google Chrome(ブラウザ製品)等が起動されて、pdfファイルをダウンロードを行う。 Step3:Adobe Acrobat Reader(pdfファイルのビューワ)等が起動されて、pdfファイルが開く。 Step4:pdfファイル内に埋め込まれたマルウェアが起動し、コマンドプロンプトやPowerShell操作において、不正なプログラム処理が開始される。 本機能による効果:親プロセスから派生する子プロセスや、孫プロセスなどのアプリケーション個別の登録をせずともポリシーが継承され、マルウェアから防御することができる。
※この「AppGuard の3つの基本機能」の解説は、「AppGuard」の解説の一部です。
「AppGuard の3つの基本機能」を含む「AppGuard」の記事については、「AppGuard」の概要を参照ください。
- AppGuard の3つの基本機能のページへのリンク
