コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=PUA-alert-resolve

PUA 警告の対処

PUA 警告に対処する方法について説明します。

対処が必要な場合、または不要と思われるアプリケーション (PUA) の検出を調査する必要がある場合、ソフォスは警告を表示して通知します。PUA のクリーンアップを試行したかどうかもお知らせします。これはデバイスの詳細ページに表示されます。詳細は、デバイスを参照してください。

脅威グラフを生成することもできます。これにより、検出された PUA に関する詳細情報を参照できます。詳細は、脅威グラフを参照してください。

PUA が誤検知であるかの確認

ファイルは、誤ってマルウェアとして検出されることがあります。たとえば、ディープラーニング (検出名: ML/PE-A) 検出は、機械学習を使用して、未知のマルウェアを識別します。これは非常に効果的ですが、正規のアプリケーションがマルウェアとして検出されてしまうこともあります。

検出が正しくない場合は、アプリケーションを許可したり、除外を追加したりできます。

検出が正しい場合は、アプリケーションをクリーンアップするようにしてください。

アプリケーションが、悪意のあるアプリケーションまたは PUA であることが不明の場合は、警告を調査するようにしてください。その後、アプリケーションを適宜、承認またはクリーンアップできます。

警告の調査

検出された PUA に関する必要な情報のすべてが、警告に表示されないこともあります。検出された PUA が悪意のあるものか、不要なものかどうかわからない場合は、それに関するすべての情報を確認するようにしてください。

これには、次の手順を実行します。

  1. 脅威グラフがあるかどうかを確認します。Sophos Central で、「脅威解析センター > 脅威グラフ」に移動します。

  2. 検出された PUA に関連付けられた脅威グラフを探します。

    脅威グラフがある場合は、検出された PUA の詳細が表示されます。実行されたすべてのアクティビティ、および調査すべき疑わしいファイルやプロセスが他にあるかどうかが表示されます。

    1. 脅威グラフがない場合は、作成します。

      制限事項

      Mac で脅威グラフを作成することはできません。

  3. 任意: 必要に応じて、ユーザーに連絡して、感染が発生した時間の前後に何を行っていたかを確認します。たとえば、メール内のリンクをクリックしたか、USB ドライブを接続したか、などです。

  4. 脅威グラフを調査し、問題に対処するために推奨される手順に従います。

    脅威グラフを使用して脅威を調査する方法の詳細は、脅威グラフの解析を参照してください。

  5. 調査が完了したら、次のいずれかを選択します。

    • 検出が正しくないと思われる場合は、アプリケーションを許可したり、除外を追加します。詳細は、誤検知の対処を参照してください。
    • 検出が正しいと思われる場合は、アプリケーションをクリーンアップします。詳細は、PUA のクリーンアップを参照してください。

  6. 警告を対処済みにします。詳細は、警告の対処を参照してください。

誤検知の対処

検出が正しくないと思われる場合は、アプリケーションを許可したり、除外を追加したりできます。

警告

アプリケーションを許可したり除外を追加したりする場合は、十分注意してください。これによって、保護が低下する可能性があります。

たとえば、ディレクトリを除外した後、その場所からマルウェアが実行されると、そのマルウェアはブロックされません。

誤検知に対処するには、次の手順を実行します。

詳細は、以下のセクションをご覧ください。

アプリケーションを許可する

制限事項

この機能は、Windows および Linux デバイスで使用できますが、Mac では使用できません。

アプリケーションを許可するには、次の手順を実行してください。

  1. アプリケーションの検出場所に応じて、「デバイス > コンピュータ」または「サーバー」ページを参照します。
  2. 検知が発生したデバイスを参照して、詳細を表示します。
  3. イベント」タブで、該当する検出イベントの「詳細」をクリックします。
  4. イベントの詳細」ダイアログの「このアプリケーションを許可する」の下にオプションが表示されます。

  5. アプリケーションを許可する方法を選択します。

    • 証明書 (Windowsのみ):同じ証明書を持つ他のアプリケーションを許可します。これは推奨される方法です。
    • SHA-256 (Windows、Linux):このバージョンのアプリケーションを許可します。アプリケーションを更新した場合は、再び PUA として検出される可能性もあります。
    • パス (Windows): この場所にインストールされているアプリケーションが許可されます。コンピュータごとに異なる場所にアプリケーションがインストールされている場合は、変数を使用できます。

    • パス (Linux): 表示されるパス (場所) にインストールされているアプリケーションが許可されます。アプリケーションがコンピュータごとに異なる場所にインストールされている場合は、パスに変数を使用できます。スラッシュを使用する必要があります。

      次のオプションを使用して、Linux でのスキャンからファイルパスを除外することもできます。

  6. 許可」をクリックします。

アプリケーションの許可に関する詳細は、許可されたアプリケーションを参照してください。

除外を追加する

除外を追加する場合は、ポリシーベースの除外を使用することを推奨します。除外対象を絞り込んで、できるだけ具体的に指定することができます。

除外を追加するには、次の手順を実行します。

  1. エンドポイントの場合は、「マイプロダクト > Endpoint > ポリシー」を参照して、除外を設定します。

    詳細は、脅威対策ポリシーを参照してください。

  2. サーバーの場合は、「マイプロダクト > Server > ポリシー」を参照して、除外を設定します。

    詳細は、サーバーの脅威対策ポリシーを参照してください。

PUA の承認

エンドポイントでは、「警告」ページでアプリケーションを承認できます。

アプリケーションを承認するには、次の手順を実行します。

  1. 警告」に移動します。
  2. PUA の警告を参照します。

  3. PUA の承認」をクリックします。

    警告

    • すべてのコンピュータで、この PUA の実行が承認されます。
    • Windows および Linux では、証明書または SHA-256 に基づいてアプリケーションを許可することをお勧めします。

PUA のクリーンアップ

検出が正しいと思われる場合は、アプリケーションをクリーンアップしてください。PUA を最初に調査すると役立つ場合があります。これにより、関連するプロセスやその他の疑わしいファイルに関する詳細情報を確認できます。

PUA のクリーンアップを行うには、次の手順を実行します。

  1. コンピュータを参照します。
  2. アプリケーション、関連するプロセス、およびレジストリキーを削除します。

警告の対処

アプリケーションを承認または削除したら、警告を対処済みとしてマークできます。

警告を対処済みにするには、以下の手順に従います。

  1. 警告」に移動します。
  2. 警告を参照します。
  3. 対処済みとしてマーク」をクリックします。