コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=PUA-alert-resolve

PUA 警告の対処

PUA 警告に対処する方法について説明します。

対処が必要な場合、または不要と思われるアプリケーション (PUA) の検出を調査する必要がある場合、ソフォスは警告を表示して通知します。PUA のクリーンアップを試行したかどうかもお知らせします。これはデバイスの詳細ページに表示されます。詳細は、デバイスを参照してください。

脅威グラフを生成することもできます。これにより、検出された PUA に関する詳細情報を参照できます。詳細は、脅威グラフを参照してください。

PUA が誤検知であるかの確認

ファイルは、誤ってマルウェアとして検出されることがあります。たとえば、ディープラーニング (検出名: ML/PE-A) 検出は、機械学習を使用して、未知のマルウェアを識別します。これは非常に効果的ですが、正規のアプリケーションがマルウェアとして検出されてしまうこともあります。

検出が正しくない場合は、アプリケーションを許可したり、除外を追加したりできます。

検出が正しい場合は、アプリケーションをクリーンアップするようにしてください。

アプリケーションが、悪意のあるアプリケーションまたは PUA であることが不明の場合は、警告を調査するようにしてください。その後、アプリケーションを適宜、許可またはクリーンアップできます。

警告の調査

検出された PUA に関する必要な情報のすべてが、警告に表示されないこともあります。検出された PUA が悪意のあるものか、不要なものかどうかわからない場合は、それに関するすべての情報を確認するようにしてください。

これには、次の手順を実行します。

  1. 脅威グラフがあるかどうかを確認します。Sophos Central で、「脅威解析センター」に移動します。

  2. 検出された PUA に関連付けられた脅威グラフを探します。

    脅威グラフがある場合は、検出された PUA の詳細が表示されます。実行されたすべてのアクティビティ、および調査すべき疑わしいファイルやプロセスが他にあるかどうかが表示されます。

    1. 脅威グラフがない場合は、作成します。

  3. 任意: 必要に応じて、ユーザーに連絡して、感染が発生した時間の前後に何を行っていたかを確認します。たとえば、メール内のリンクをクリックしたか、USB ドライブを接続したか、などです。

  4. 脅威グラフを調査し、問題に対処するために推奨される手順に従います。

    脅威グラフを使用して脅威を調査する方法の詳細は、脅威グラフの解析を参照してください。

  5. 調査が完了したら、次のいずれかを選択します。

    • 検出が正しくないと思われる場合は、アプリケーションを許可したり、除外を追加します。詳細は、誤検知の対処を参照してください。
    • 検出が正しいと思われる場合は、アプリケーションをクリーンアップします。詳細は、PUA のクリーンアップを参照してください。

  6. 警告を対処済みにします。詳細は、警告の対処を参照してください。

誤検知の対処

検出が正しくないと思われる場合は、アプリケーションを許可したり、除外を追加したりできます。

警告

アプリケーションを許可したり除外を追加したりする場合は、十分注意してください。これによって、保護が低下する可能性があります。

たとえば、ディレクトリを除外した後、その場所からマルウェアが実行されると、そのマルウェアはブロックされません。

誤検知に対処するには、次の手順を実行します。

  • アプリケーションを許可するには、次の手順を実行してください。

    1. デバイス」に移動します。
    2. アプリケーションの検出場所に応じて、「コンピュータ」または「サーバー」ページを参照します。
    3. 検知が発生したデバイスを参照して、詳細を表示します。
    4. イベント」タブで、該当する検出イベントの「詳細」をクリックします。
    5. イベントの詳細」ダイアログの「このアプリケーションを許可する」の下にオプションが表示されます。

    6. アプリケーションを許可する方法を選択します。

      • 証明書 (Windowsのみ):これは推奨される方法です。同じ証明書を持つ他のアプリケーションも許可されます。
      • SHA-256 (Windows、Linux):このバージョンのアプリケーションを許可します。アプリケーションを更新した場合は、再び PUA として検出される可能性もあります。
      • パス (Windows、Mac、Linux):この場所にインストールされているアプリケーションが許可されます。コンピュータごとに異なる場所にアプリケーションがインストールされている場合は、変数を使用できます。

    7. 許可」をクリックします。

    アプリケーションの許可に関する詳細は、許可されたアプリケーションを参照してください。

  • 除外を追加する場合は、ポリシーベースの除外を使用することを推奨します。除外対象を絞り込んで、できるだけ具体的に指定することができます。除外を追加するには、次の手順を実行します。

    1. エンドポイントの場合は、「エンドポイントプロテクション > ポリシー」を参照して、除外を設定します。

      詳細は、脅威対策ポリシーを参照してください。

    2. サーバーの場合は、「サーバープロテクション > ポリシー」を参照して、除外を設定します。

      詳細は、サーバーの脅威対策ポリシーを参照してください。

  • エンドポイントでは、「警告」ページでアプリケーションを許可できます。これには、次の手順を実行します。

    1. 警告」に移動します。
    2. PUA の警告を参照します。

    3. PUA の承認」をクリックします。

      警告

      すべてのコンピュータで、この PUA の実行が承認されます。アプリケーションは、証明書または SHA-256 を使用して許可することを推奨します。

これで、警告を対処済みとしてマークできます。

PUA のクリーンアップ

検出が正しいと思われる場合は、アプリケーションをクリーンアップしてください。PUA を最初に調査すると役立つ場合があります。これにより、関連するプロセスやその他の疑わしいファイルに関する詳細情報を確認できます。

PUA のクリーンアップを行うには、次の手順を実行します。

  1. コンピュータを参照します。
  2. アプリケーション、関連するプロセス、およびレジストリキーを削除します。

警告の対処

アプリケーションを許可または削除したら、警告を対処済みとしてマークできます。これには、次の手順を実行します。

  1. 警告」に移動します。
  2. 警告を参照します。
  3. 対処済みとしてマーク」をクリックします。