ウィルス対策

MobiControl v14 Manual


1. ウィルス検疫の仕組み

2020年4月1日からは、MobiControlエージェントのバージョンがv14.1以上でないと、新規のウィルス検疫ができなくなりました。
Android端末エージェントのアップデート」を参照して、MobiControlエージェントのバージョンを、 v14.1以上にアップデートしてください。
  • MobiControl管理下のAndroid端末は、Bitdefender社のクラウド方式の ウィルス対策サービスにより、ウィルス検疫を行います。

    (図1)

    下記の(図4)で指定したウィルススキャンの時刻になると、MobiControlエージェントは、端末内のファイルからフィンガープリント(拇印)を生成します。 フィンガープリントは、ハッシュ関数で生成されます。フィンガープリントは文字列です。これをBitdefenderのクラウドサービスに送ります。

    Bitdefenderでは、現時点までに収集した膨大なマルウェアファイルから、そのフィンガープリントを生成し、データベース化しています。
    Bitdefenderは、端末から送られてきたフィンガープリントを、データベース内のフィンガープリントと照合します。 もし、同じフィンガープリントがデータベース内に見つかったら、そのフィンガープリントの生成元のファイルは マルウェアだと判定できます。Bitdefenderは、その旨を端末に通知します。

    端末のエージェントは、通知を受けたフィンガープリントの生成元ファイルを、隔離フォルダに移動します。
    尚、フィンガープリントから 元のファイルを復元することはできません。従って、端末内のファイルが外部に流れることは、ありません。
    複数の異なるファイルから生成したフィンガープリントが同一になることはありません。
  • クラウド方式のウィルス検疫を受けるには、MobiControlエージェントのバージョンが v14.1以上であることが 必要です。
  • エージェントのバージョンが v14.1未満の場合、2020年3月31日までにダウンロードした ウィルス定義ファイル(シグネチャ)で、端末内ファイルとのローカル照合で、検疫をやっています。
    古いウィルス定義ファイルとの照合ですので、2020年4月1日以降のマルウェアを検出できません。
  • エージェントは、マルウェアと判定したファイルを隔離フォルダに移動します。 そして、アラートルールにより、関係者に自動的にメール通報をします。
    コンソール管理者が、そのファイルが マルウェアでないと判断すれば、そのファイルをホワイトリストに登録し、例外扱いとすることができます。
    隔離フォルダに移動されたファイルは、一定期間経過すると、端末から削除されます。
  • この構成プロファイルを設定済なら、MobiControlエージェントを、v14.1以上にアップデートしても、構成プロファイル設定を変更する必要はありません。
  • Bitdefenderによるウィルス検疫を有効にしても、MobiControlの追加料金は発生しません

2. ウィルス対策管理画面

(図2)の「構成プロファイルメニュー」の画面を表示します。  
Android Enterpriseの構成プロファイルの作成 」を参照ください。

(図2) 
Android Enterprise 構成プロファイルのメニュー

(図2)で、「ウィルス対策」を選択すると、(図3)が現れます。

(図3) 

(図3)は、MobiControlサーバのバージョンが、v14.4.5未満の場合の画面です。 (図3)の「ウィルス定義の更新スケジュール」を設定しても、 無効です。2020年4月1日以降は、ウィルス定義ファイルを端末にダウンロードして、それを使って検疫する方法はしないからです。
サーバが、v14.4.5以上の場合は、「ウィルス定義の更新スケジュール」の項目がありません。

3. 隔離するか削除するかの選択

a. の「隔離」か、b.の「削除」かを選択します。
  1. 汚染されたアプリを隔離
  2. 汚染されたアプリを削除
  1. 汚染されたファイルを隔離
  2. 汚染されたファイルを削除
「削除」を選択すると、Bitdefenderが、正常なファイルのフィンガープリントを、マルウェアのフィンガープリントだと誤通知してきた場合、 MobiControlエージェントは、生成元のファイルを削除してしまいます。
「隔離」の場合は、隔離フォルダに一定期間保存します。管理者により、それらを、ホワイトリストに登録をして 現役に復活させることもできます。

4. ウィルススキャンのスケジュール設定

(図3)の「ウィルススキャンのスケジュール」のボタンを押すと、(図4)が現れます。(図4)で、 MobiControlエージェントがフィンガープリントを生成し、それをBitdefenderのクラウドサーバに送るスケジュールを規定します。

(図4) 

「一定間隔」の右端をプルダウンすると、選択肢メニューが現れるので、それを選択します。 なるべく頻繁にタスクを実行するのが良いでしょう。(図4)で「OK」を押すと、(図3)に戻ります。

5. ウィルススキャンを実施した時のログ

端末が、ウィルススキャンを実施すると、次のログを、表示します。

端末生成文 (ウイルススキャンが完了しました。検出したマルウェア 0 ファイル。 検出した マルウェア 0 アプリケーション)

上のログ文章の 0 が 1 以上の場合は、マルウェアを検出したときです。
下記の「7. アラートルール」を設定しておくと、マルウェアが発見された場合には、関係者にアラートメールを送ることができます。

端末一覧で、任意の端末の名前を選ぶと、「端末の詳細」の画面が現れます。上辺の「イベントログ」タブを選ぶと、 ログが表示されます。

6. 隔離フォルダを空にするスケジュール設定

(図3)の「隔離フォルダを空にするスケジュール」のボタンを押すと、(図5)が現れます。 
マルウェアと疑われたファイルやアプリは、隔離フォルダに移されますが、一定期間が過ぎると、削除されます。 その削除をするスケジュールを設定します。
短時間で削除するように設定すると、誤検知されたファイルやアプリを救出できなくなります。

(図5) 

(図5)で「OK」を押すと、(図3)に戻ります。

構成プロファイルの作成が終わると、(図3)で「OK」ボタンを押します。
構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Android Enterpriseの構成プロファイルの作成」 のページの「E. 構成プロファイルの端末グループへの割り当て」以下を参照ください。

7. アラートルールを設定する。

アラートルール」の「端末の動作結果に関するイベント」で、 次のアラート項目を選択しておきます。
イベント名編集後のアラート文
マルウェア・アプリを検出マルウェアと判断したアプリを検出した
マルウェア・アプリの検疫マルウェアと判断したアプリを隔離した
マルウェア・ファイルを検出マルウェアと判断したファイルを検出した
マルウェア・ファイルを検疫マルウェアと判断したファイルを隔離した
マルウェア・ファイルの検疫がリセットされました隔離していたマルウェアファイルを消去した
上記のイベントが発生すると、 アラートログ画面に、ログ表示されるようになります。
項目に依っては、MobiControlサーバから関係者にメール通報するような追加的設定をしておきます。

8. 隔離されたマルウェアを調べる

アラートメールを受信すると、コンソール管理者は、該当端末を端末一覧でクリック選択します。 上辺が、(図6)のような画面に変わります。

(図6)

(図6)の「セキュリティ」のタブを選ぶと、隔離されたマルウェアの一覧が表示されます。
実際は、マルウェアでないと判断されたアプリまたはファイルなら、現役に戻します。

9. ホワイトリストの作成

マルウェアでないと判断できるアプリを定義します。 ここで定義されたアプリは、今後のウィルススキャンの例外となります。
(図3)の「ウィルス対策ホワイトリスト」のボタンを押します。(図7)が現れます。

(図7) 

(図8)

(図7)に例外とするオブジェクトを登録します。 「追加」ボタンをプルダウンすると、右の(図8)のようなメニューが現れます。 これで、例外オブジェクトのタイプを規定します。
「隔離場所から」を選択すると、現在「隔離場所」にあるアプリやファイルの一覧が表示されますから、それを 選択すると、これが(図7)に反映されます。これで、隔離場所にあるアプリまたはファイルを例外オブジェクトとして登録できます。

10. BitdefenderのクラウドサーバへのURL

Bitdefenderによるウィルス検疫サービスを受けるには、AWS宛のIPアドレス群をFirewallで許可しておきます。
Portsプロトコル方向宛先
443TCPOutbound下記リンクのページに記述されています。
Amazon AWS のIPレンジ
Firefoxで開いた場合は、「生データ」のタブを開くと表示されます。

尚、2020年3月31日までは、下記の2つのURLををFirewallで許可していましたが、これらは不要になりました。
  • mobicontrolservices.soti.net/BitDefenderAntivirus
  • mobicontrolservices.soti.net/BDM/
マルウェア検疫サービスの評価機関として著名な、AV-Testの評価リスト
The best antivirus software for Android