適用対象:WatchGuard EPDR、WatchGuard EDR
ワークステーションとサーバー設定プロファイルの Advanced Protection 設定で、エクスプロイト対策保護を有効化することができます。エクスプロイト対策保護は、既定でブロックが有効化されています。
Windows ARM システムでは、エクスプロイト対策技術を使用することができません。使用可能な機能はプラットフォームごとに異なります。詳細については、Windows、Linux、macOS プラットフォームのデバイス向けのAdvanced Protection を参照してください。
エクスプロイトのブロックと検出
エクスプロイト対策保護により、ユーザーのコンピュータ上のアクティブ プロセスで検出された脆弱性を悪用する試みが自動的にブロックされます。
ネットワーク コンピュータでは、バグを含め、信頼済みプロセスが実行されると考えられます。これらのプロセスは合法ですが、ユーザーや他のプロセスから受信したデータがプロセスで正しく解釈されないことがあるため、脆弱でもあります。脆弱なプロセスが、ハッカーからの悪質な入力を受け取ると、誤動作が発生する可能性があります。そうすると、攻撃者は、脆弱なプロセスで管理されているメモリ領域に悪質なコードを挿入できるようになります。挿入されたコードにより、プログラムされていないアクションが侵害されたプロセスで実行され、コンピュータのセキュリティが侵害される可能性があります。
WatchGuard Endpoint Security に含まれているエクスプロイト対策保護により、ユーザーが実行する脆弱なプロセスに悪質なコードを挿入する試みが検出され、検出されたエクスプロイトに基づいてこうしたコードが無効化されます。
エクスプロイトのブロック
WatchGuard Endpoint Security により、進行中のインジェクションの試みが検出されます。インジェクション プロセスが完了しないため、標的となったプロセスが危険に曝されることがなく、コンピュータに対するリスクも発生しません。影響を受けるプロセスを終了することなく、またコンピュータを再起動することなく、エクスプロイトが無効化されるため、標的にされたプロセスからデータが漏洩することがありません。管理者が構成した設定に基づいて、標的となったコンピュータのユーザーにブロック通知が送信されます。
エクスプロイトの検出
WatchGuard Endpoint Security では、インジェクションが発生した後にこれが検出されます。この時点で脆弱なプロセスにはすでに悪質なコードが含まれているため、WatchGuard Endpoint Security により、コンピュータのセキュリティを危険に曝す可能性のあるアクションが実行される前にプロセスが終了されます。エクスプロイトの検出時点から侵害されたプロセスが終了するまでの時間に関係なく、コンピュータが危険に曝されていることを知らせるレポートが WatchGuard Endpoint Security から発信されます。プロセスが停止されるまでの時間およびマルウェアの種類によって、リスクのレベルが異なります。
WatchGuard Endpoint Security では、攻撃の悪影響を最小限に抑えるために侵害されたプロセスが自動的に終了されるように設定すること、またはプロセスを終了してメモリから削除することをユーザーに促す通知が発信されるように設定することができます。この場合、ユーザーは侵害されたプロセスを終了する前に、またはコンピュータを再起動する前に、自身の作業や重要な情報を保存することができます。侵害されたプロセスを終了できない場合は、ユーザーにコンピュータの再起動を促すプロンプトが表示されます。