正常なプログラムであっても、怪しい動作をすれば遮断されることがあります。その場合は検出されたファイルを 信頼できるファイルとして登録すれば、それ以降は問題のないファイルとして処理されます。

はい。検出されたランサムウェアは自動的に遮断、削除されますが、状況により完全に削除できない場合があります。

はい。検疫フォルダからファイルを選び復元することができます。

AppCheckには２つの製品があり、クライアントOS向け製品を「AppCheck Pro」と呼びます。そして、サーバOS向け製品を「AppCheck Pro for Windows Server」と呼びます。そして、「AppCheck」はこれらの製品の総称です。

はい。標準では1年間のサブスクリプションライセンスの購入となります。複数年のご購入についてはお問い合わせください。

アプリケーションインストール後、発行されたライセンスをアプリケーションに登録してから有効になります。

クライアント端末のネットワークフォルダ（ドライブをマウント）はAppCheck Proの機能で守ることができますが、その他のネットワークフォルダは守ることができません。ですから、ファイルサーバなどを守るには、サーバ向け製品「AppCheck Pro for Windows Server」をお使いください。

価格はオープンとなっています。お見積りのご依頼は弊社または販売店までお知らせください。

既存のセキュリティ製品のようにパターンファイルや照合DB等を使用しないため低PC負荷率です。

Futuremark社のPcmark®7でワクチン別システム負荷テスト結果 数値が大きいほど低負荷率

2GB以上（推奨10GB以上）です。
↪暗号化対象ファイルの全ての暗号化前にランサムウェアを駆除
↪非圧縮での退避（リアルタイムバックアップ）となります。
※退避（リアルタイムバックアップ）フォルダはデフォルト「C:\ProgramData\CheckMAL\AppCheck\RansomShelter」となっております。

ユーザ指定除外ファイルの設定で可能です。
ユーザ指定除外ファイルで設定します。 ランサムガードによりランサムウェアと検知（遮断）された場合、
検査実行を行わないようにしたいファイルを記述します。（ホワイトリスト）

保護するファイル拡張子を追加できます。

AppCheckProがインストールされたOSが認識するドライブ

注1：ネットワークドライブの割り当てでマウントしたネットワークドライブ が
ネットワークドライブ保護機能の保護対象です。 注2：WindowsとLinux(NAS)の間のファイル共有の場合、
Samba(SMB）で行われる場合はネットワークドライブ保護機能の保護対象です。
ファイル共有がNFSの場合はネットワークドライブ保護機能の保護対象外です。
注3：\server\share\file1.docなど、「パスを入力してアクセスするファイルも保護されません。
注4：ネットワークドライブやUSBなどのリムーバブルディスクドライブの保護を有効にする場合はネットワークドライブ保護、リムーバブルディスクドライブ保護を有効にする必要があります。

注5：AppCheckProがインストールされたPCが電源OFFの場合、ネットワークドライブは保護されません。

守れます。
Google Drive（G:）は以下のアイコンのとおり、ローカルドライブとして認識されます。
ローカルドライブなので通常のランサムウェア保護機能で守ります。

注：本回答は2022年9月の検証結果によるものです。
Google社が「パソコン版Googleドライブ」の仕様の変更（ローカル認識を止める等）をした場合は、
本回答が有効でなくなったり、改めての検証が必要な場合があることを予めご了承ください。

対応します。

１．ファイルレスランサムウェアとは
悪意のあるメール等に記載のあるURLのリンク先からアプリケーションを立ち上げpowershell等でコマンドを実行し感染させるものです。

２．ファイルレスランサムウェアの攻撃対象と目的
⑴ 攻撃対象：ファイル
⑵ 目的：ファイルの暗号化

３．AppCheckProがファイルレスランサムウェア対応ができる理由
攻撃元のファイル有無にかかわらず、異常な暗号化プロセスを検知し、稼働するためファイルレスランサムウェアにも対応します。

「コア分離機能をオフにする」ことで対応できます。

１．原因
Windowsのコア分離機能が働いたときにリアルタイムセキュリティが稼働したり、非稼働になったりします。
なお、以下のURLのとおり、コア分離機能は、AppcCheckProに限らず、
メモリの整合性が取れなくなると、アプリケーションの稼働を阻害するなどの問題を起こすことがあります。
そのため、問題が生じたときはOFFにする必要があります。
https://nakedsecurity.sophos.com/2020/03/09/microsoft-turn-off-memory-integrity-if-its-causing-problems/

２．対策
該当社員の方のPCのコア分離機能をOFFにしてください。
手順は以下となります。再起動を伴う作業のため、作業開始の際はExcelなどの全てのアプリケーションを閉じておいてください。
⑴[スタート] > [設定] を選択してください。
⑵以下の画面が出ます。 [更新とセキュリティ] を選択してください。
⑶表示された画面の左側にある [Windowsセキュリティ] を選択してください。
⑷表示された画面内の「Windowsセキュリティを開く」を押下してください。
⑸表示された画面内の「デバイスセキュリティ」を押下してください。
⑹表示された画面内の「コア分離の詳細」を押下してください。
⑺表示された画面内の「メモリの整合性」を「オフ」にしてください。
「オフ」担っていた場合は、画面を閉じ、お手数ですが、メールでご連絡ください。
⑻コンピュータの再起動をしてください。
⑼再起動後、隠れているインジケーター内のAppcCheckProのアイコンを確認してください
⑽AppcCheckProエージェントを開き他のPCと同じものがONであることを確認してください。

AppCheckProの「手動アップデート」を行うことで対応できます。

１．原因
AppCheckProの自動アップデートが何かの理由で失敗したことから、リアルタイムセキュリティ機能がOFFになる場合はございます。
その場合、アップデートファイルの実行による手動アップデートが必要となります。

２．対策
AppCheckProがインストールされている端末内の、以下ファイルを実行頂き、手動アップデートを行ってください。
C:\Program Files\CheckMAL\AppCheck\Update\AppCheckUpdate.exe

※注意点： フォルダ「C:\Program Files\CheckMAL\AppCheck\Update」は、AppCheckProがインストールが行われた直後には作成されておらず、その後自動アップデートが行われる際に初めて生成されます。

パスワードを設定し、エージェント側のAppCheckProの設定変更、アンインストールを制限する機能となります

※「ロック設定」機能がオフになっていると、「オン」設定を推薦する案内メッセージが表示されます。
※CMS中央管理で配布されたAppCheckProバージョンはCMSの「ロックモード機能」により制御されるため、エージェント側に上記の「ロック設定使用」メニューが表示されません。

「該当IPアドレスのホワイトリスト登録する」ことで対応できます。

誤検知された「遠隔地PCのIPアドレス」をホワイトリストとして登録することで対応できます。
※「オプション」→「CMS許容/遮断リスト」→「遮断されたアドレスリスト」から該当IPアドレスを選択し、「常時許容」クリックしてください。

しかし、ホワイトリストとして追加されたIPアドレスの遠隔地PCがランサムウェアに感染された場合、
サーバーの共有フォルダ内のファイルが暗号化（ファイルの書換によるもの）対象となる恐れがあります。
そのため、該当IPアドレスのPC内にもAppCheckProをインストールし、
該当IPアドレスのPC自体をランサムウェアから守ることを推奨させていただきます。

AppCheckProは、保護対象ファイルが毀損されたら、そのファイルを毀損したプロセスをキルし、強制終了します。削除についてですが、ランサムウェアの中には正常ファイルをファイル毀損に利用するものもあるため、「有効なデジタル署名有無」もしくは「該当ファイルの場所」を確認した上、削除するかどうかを判断します。
※もし、「有効なデジタル署名」を持っているため削除できなかった（遮断のみ）ファイルが、遮断後に再実行された場合はそのファイルがまたでファイル毀損を行う前にプロセスを検知し、一定時間(最大30分)の間プロセス遮断（終了）を続けます。

導入可能です。

１．「Smile」ファイルの拡張子を「保護するファイル拡張子」に追加
AppCheckProの「オプション」⇒「ランサムガード」⇒「保護するファイル拡張子」に
Smileの重要システムファイルの拡張子を登録してください。

２．誤検知防止（ホワイトリスト登録）
「Smile」製品はMS SQLをデータベースとして使用することから、有償オプションの
「CMSの機能」で、例えば「除外ファイル」に「パス/Microsoft SQL Server
2019\*.exe」の記載方法を登録し、該当フォルダ内(Microsoft SQL Server
2019)のすべての実行ファイル(.exe)を「ユーザ指定除外ファイル」に登録します。
また、「パス\Microsoft SQL Server 2019\sql*.exe」のような記載で、Microsoft SQL Server 2019フォルダ内のファイル名が「sql」から始まるすべてのexeファイルを例外処理する方法もあります。なお、「*符号で登録」 する機能は、「CMS限定の機能」であるため、CMSのないの「AppCheckPro」及び「AppCheckPro for WindowsServer」では、「ユーザ指定除外ファイル」を個別登録することになります。

AppCheckProがインストールされているOSがProxy設定されている場合は、AppCheckProはそのProxy設定（ネットワーク設定）を参照し、通信を行います。OSのネットワーク設定を無視することはございません。

AppCheckProと他社製のEPPの共存事例は多数ございます。 NGAV、EDRの事例は、現在のところCybereasonとの共存テスト事例がございます。 ただし、EDRの場合は該当製品側でAppCheckProをホワイトリスト（例外処理設定）登録が必要な場合がございます。

PC「A」のAppCheckProは、共有フォルダとしてアクセスできるサーバー「B」内のファイルを監視しますが、PC「C」からサーバー「B」宛に実行されたプロセスを検知することはできません。そのため、サーバー「B」内のファイルが毀損されたらPC「A」内の退避フォルダにリアルタイムバックアップを行いますが、PC「C」から実行されたプロセスの遮断は行いません。

CMS Cloudと連動されているAppCheckPro（エージェント）でランサムウェア攻撃が検知されたら、検知ログがリアルタイムでCMSに送信されます。送信された脅威ログはデフォルト15分（変更可能）ごとにCMS内で集計され、アラーム設定されているメールアドレス宛に感染通知が送信されます。

ファイアウォールまたは一時的なネットワーク問題により、CMS Cloudサーバーとの通信が行われない場合がございます。 大変お手数ですが、以下の手順で再度セットアップ作業をお試しください。

１．CMS Cloudの「エージェント」メニューに、該当サーバエージェントがある場合は削除を行ってくだ

２．約2~30分程経過してから、再度セットアップ作業（インストーラーを配布し、実行）を行ってください。

以下項目となります。
※CMS Cloudの「エージェント」メニューにてcsvかExcelファイルで取得できるカラム情報と同様

– エージェント固有ID値:インストールされたAppCheckエージェントID値
– 外部IPアドレス
– 内部IPアドレス
– MAC Address
– ホストネーム（デバイス名）
– OSバージョン
– OSプラットフォーム:x64 / x86
– PCオンライン/オフライン状態
– AppCheckインストールバージョン
– AppCheckリアルタイムセキュリティ状態
– AppCheckエージェントに適用されたCMSポリシーID値
– AppCheckエージェントに適用されたCMSポリシーリビジョン
– AppCheckエージェントがCMSと通信を行った最終オンライン時間
– AppCheckエージェントにて記録されたログ情報

初回インストール、ポリシー適用、最新アップデートの際に「CMS Cloudサーバーとエージェントの通信」が必要となります。
その際にはCMS Cloudのドメイン、IPアドレス、ポートをオープン(通信許可)する必要がございます。

– ドメイン：jp.cms.checkmal.com
– CMS Cloud IPアドレス(AWS) : 35.72.44.147
– ポート番号 : 443
– オープン方向 : 両方向とも