Blue Planet-works|Blog

AppGuard Soloでシステムスペースの書き込み制御を解除する方法

Tech Note

本ブログでは、AppGuardの制御機能によってシステムスペース※1に区分されたフォルダ又はファイルに特定アプリケーションを介した書き込みが制御されてしまった場合に、その書き込みを許可する方法を説明します。説明にあたって、まずはAppGuardが提供する制御機能の1つである「改ざん処理防止機能」について説明します。

※スペースルールについての解説はこちら
https://www.blueplanet-works.com/column/tech-note/appguard-solo-howto001-20210824/

改ざん処理防止機能とは?

改ざん処理防止機能は主に不正アクセスに対処するための制御技術です。不正アクセスはアプリケーションの欠陥である脆弱性を悪用することで誤作動を誘発させて攻撃者の意図した状態を作り出します。AppGuardは、不正アクセスに悪用される可能性があるアプリケーションを「ハイリスクアプリケーション」として指定することで保護を適用します。

ハイリスクアプリケーションに指定されるアプリケーションは①攻撃の起点になり得るアプリケーション(例:MS Office、ブラウザ、メールソフト、Adobe Acrobat等)と②攻撃の過程で悪用されるアプリケーション(例:PowerShell、CMD等のユーティリティツール等)が指定されます。

これらのアプリケーションが起動されるとAppGuardによって3つの制御ルールが自動的に適用されます。3つの制御ルールは「レジストリファイルの改ざんを禁止」「スペースルールでシステムスペースに区分されるフォルダ/ファイルに対する変更処理の禁止」「他アプリケーションのメモリ読み書きを禁止」です。不正アクセスを成立させるために必要となるアクションポイントを成立できないように制御することで不正アクセスを失敗に陥らせます。

また、AppGuardは改ざん処理防止機能に「Inheritance(ポリシー継承)」という特許技術を組み合わせることで、不正アクセスに対してさらに強固な制御を可能としています。不正アクセス時に攻撃者は複数のアプリケーションを渡り歩くことがあるため、どのアプリケーションを保護すべきかを人力で全て特定していくことは困難です。AppGuardでは攻撃のライフサイクルにおいてハイリスクアプリケーションに指定されたアプリケーションが起動されると、それを起点として呼び出される子や孫のプロセスに対して自動的に自身に割り当てられた改ざん処理防止機能を継承して保護を継続できるようになっています。つまり、攻撃者がハイリスクアプリケーションに指定されたアプリケーションをどこかで呼び出してしまった時点で不正アクセスを成立させることができなくなるようになっています。

正規のアプリケーションであってもポリシーに抵触する場合がある

前述のとおり、AppGuardの改ざん処理防止機能はアプリケーション自体の善悪を判断しているわけではなく、実行主体問わずハイリスクアプリケーションを呼び出して3つの制御ポリシーに抵触する処理が行われると制御する仕組みとなっています。

例えば、MS Excelのアドインを利用してCドライブの直下にあるフォルダ(例:C:\Report)へレポートを出力する操作が行われた場合、このレポート出力処理(C:\Reportへの書き込み)はAppGuardによって制御されてしまいます。これはMS Excelがハイリスクアプリケーションであるため、それを通じてシステムスペースに区分されるCドライブ直下のフォルダに対して変更処理をかけることができないためです。

正規のアプリケーションが実行する処理が改ざん処理防止機能によって完了しない場合

もし、AppGuard導入後にお使いのアプリケーションの特定処理において操作が正常に完了しなかった場合、AppGuardユーザーコンソールの「AppGuard Activity Report」を確認し、当該アプリケーションから特定のフォルダ又はファイルへの書き込みをブロックしているログがあるか確認してみてください。ログが確認できた場合、そのフォルダ又はファイルに対してハイリスクアプリケーションを通じた変更処理を許可する設定を施すことで正常に処理できるようになります。解除するための手順はこちらの動画で解説していますので、動画を視聴しながらの設定が可能です。

↓YouTubeサイトに移動↓
https://www.youtube.com/watch?v=xdrEQE7Rj5I

ぜひご活用ください。

(注)こちらはAppGuard Solo/ AppGuard Home Editionで可能な設定方法となります。


2021年12月6日
株式会社Blue Planet-works
マーケティング
坂井清美

監修:
株式会社Blue Planet-works
セキュリティアドバイザー
鴫原祐輔

AppGuardで感染対策を!



ページトップに戻る