※ 疑似ウイルスファイル「eicar」をダウンロードします。誤って、本番環境や会社管理端末にダウンロードしないようにご注意ください。

概要

ウイルス対策などの検証に使用されるウイルスファイルである「eicar」をインターネットから保護対象サーバにダウンロードしてみます。実際のウイルス感染を擬似的に体験します。ダウンロード後に下記の内容を確認していきます。

• Deep Security Agent（DSA）をインストールしている保護対象サーバはどうなるのか？
• Workload Security 管理コンソール（DSM）上ではどう見えるのか？

事前設定

• 保護対象サーバに DSA をインストール
  参考：https://qiita.com/k-li00n88/items/a66c43adf8537904cafe

• 不正プログラム対策の設定
  1 . 不正プログラム対策を「有効化」に設定
  2 . 不正プログラム対策のリアルタイム検索を「Default Real-Time Scan Configuration」を選択
  参考：https://qiita.com/k-li00n88/items/445f74744c70e2589ee8

ウイルスファイルのダウンロード

保護対象サーバから下記のコマンドを実行してウイルスファイルである「eicar」をダウンロードします。

[centos@localhost ~]$ wget https://files.trendmicro.com/products/eicar-file/eicar.com

これでダウンロードは完了です。
ダウンロード先のディレクトリを確認してみますが、ダウンロードしたファイルが存在しないことを確認できるかと思います。保護対象サーバにインストールしている Deep Security Agent（DSA）により何かしらの処理がされたことが分かります。事象については次項で確認します。

[centos@localhost ~]$ ls
Desktop  Documents  Downloads  Music  Pictures  Public  Templates  Videos

ダウンロードされたウイルスファイルは何処へ？

ウイルスファイル「eicar」をダウンロードしましたが、ダウンロード先でウイルスファイルを確認することが出来ませんでした。
「保護対象サーバにインストールした DSA に削除されてしまったのか？」と思われるかもしれませんが、実際には保護対象サーバに残っています。厳密に言うと、ウイルスが悪さをしないように暗号化されて特定の場所に隔離されています。ファイルの配置先は下記の場所となり、暗号化されたファイル（.qtn）を確認できます。また、ファイルを配置する場所を指定／変更することはできません。

[root@localhost quarantined]# pwd
/var/opt/ds_agent/guests/0000-0000-0000/quarantined

[root@localhost quarantined]# ls
YCxRab.qtn

Workload Security 管理コンソール（DSM）で確認

ウイルスファイルは保護対象サーバに暗号化された状態で隔離されていることを確認できました。次は、Workload Security 管理コンソール（DSM）上で下記のことを確認してみたいと思います。

• どういうアラートが発生しているのか？
• どういう不正プログラム対策イベントが発生しているのか？
• 保護対象サーバに隔離されているウイルスファイルを操作（復元／削除／ダウンロード）してみる

どういうアラートが発生しているのか？

DSM の上部メニュー「アラート」を選択すると、アラート一覧を確認することができます。
その中から、不正プログラム対策に関するアラート（下図の Default Real-Time Scan Configuration に関するアラート）を確認できると思います。

どういう不正プログラム対策イベントが発生しているのか？

DSM 上部メニュー「イベントとレポート」を選択し、左側メニュー「不正プログラム対策イベント」を選択すると、不正プログラム対策のイベント一覧を確認することができます。（※ 何も表示されない場合は、画面上部にある「期間」を変更してみてください。デフォルトでは「過去 24 時間」になっています）。
その中から、ダウンロードしたウイルスファイルがイベントとして残っていることを確認できると思います。赤枠で囲んだ行をダブルクリックすると、イベントの詳細画面を表示できますが、一覧で確認できる情報とほとんど変わりないです。

保管されているウイルスファイルを操作してみる

DSM 上部メニュー「イベントとレポート」を選択し、左側メニュー「不正プログラム対策イベント」>「検出ファイル」を選択すると、不正プログラム対策で検出したファイル一覧を確認することができます。（※ 何も表示されない場合は、画面上部にある「期間」を変更してみてください。デフォルトでは「過去 24 時間」になっています）。その中から、保護対象サーバにダウンロードしたウイルスファイルを確認できると思います。

上図の画面の赤枠で囲んだ行をダブルクリックすると、ファイルの詳細とファイルに関する操作を選択できる下図の画面が表示されます。表示された画面下部に「復元」「ダウンロード」「削除」ボタンが表示されます。下記は各ボタンの説明となります。

• 復元：暗号化されたウイルスファイルを元の場所に復元します。（※ 今回の場合、再度、DSA に検知され、特定の場所に暗号化されて隔離されます）
• ダウンロード：暗号化されたウイルスファイルが zip 化され、ダウンロードされます。（※ 復号には Trend Micro が配布している専用ツールが必要です。このツールはダウンロードの操作の途中でダウンロードリンクが表示されるのでそちらをクリックします。また、このツールは Windows でのみ実行可能です。復号に関しては、下記の「おまけ」項目で解説しています。）
• 削除：暗号化されたウイルスファイルを保護対象サーバから削除します。

（Hands-on では「削除」を実行してください）

おまけ

Windows 環境で暗号化されたウイルスファイルを復元する

Workload Security 管理コンソール（DSM）からダウンロードした暗号化されたウイルスファイルを Trend Micro が配布している専用ツールで復号してみます。用意した環境は下記の通りです。

環境：VMware Fusion + Windows 10（※ ネットワーク隔離 & Microsoft Defender リアルタイム保護を無効化）

1 . 暗号化されたウイルスファイル（.zip）と Trend Micro の専用ツール（.zip） を Windows 環境に移動して展開します。

2 . Trend Micro の専用ツール「QDecrypt」を起動します。起動すると、復号するファイルを選択するダイアログが表示されるので、暗号化されたウイルスファイルを選択します。

3 . 復号するファイルの保存場所とファイル名を指定します。「保存」ボタンをクリックすることで、暗号化されたウイルスファイルの復号に成功します。

※ Microsoft Defender リアルタイム保護を「有効」にしている場合、復号したウイルスファイルが検知され、下記の通知が表示されます。

参考

Q&A | Trend Micro Business Support
https://success.trendmicro.com/jp/solution/1114066
https://success.trendmicro.com/jp/solution/1112967

Trend Micro Software Download Center
https://downloadcenter.trendmicro.com/index.php?regs=jp&clk=latest&clkval=3694&lang_loc=13&_ga=2.6179962.858878297.1618293844-274660703.1618057428

検出した不正プログラムの確認と復元 | Deep Security
https://help.deepsecurity.trendmicro.com/12_0/on-premise/ja-jp/Events-Alerts/events-anti-malware-quarantine.html#restore