McAfee 製品で EICAR マルウェア対策テストファイルを使用する方法

技術的な記事 ID: KB59742
最終更新: 2021/01/25

環境

すべての McAfee マルウェア対策製品
European Institute for Computer Anti-virus Research (EICAR) マルウェア対策テストファイル

概要

EICAR マルウェア対策テストファイルは European Institute for EICAR によって開発されました。 EICAR テストファイルは、ウイルス対策ソフトウェアがマルウェアとして検出する適正な DOS プログラムです。このテストファイルは、正常に実行されると (検出されず、ブロックもされない場合)、メッセージ「EICAR-STANDARD-ANTIVIRUS-TEST-FILE!」を表示します。

標準の EICAR テストファイルを入手するには次の 2 つの方法があります。

www.eicar.org から直接ダウンロードする。
テキストエディターを使用してファイルを作成する。
1. メモ帳などのテキストエディターを開きます。
2. 次の文字列を新しいファイルにコピーします。
  
  X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
  
  注: 3 つめの文字は大文字の「O」です。数字のゼロではありません。
3. Eicar.com としてファイルを保存します。

次の複数の方法で、EICAR テストファイルを使用して、使用中のセキュリティソフトウェアが正しく動作していることを確認することができます。

オンアクセススキャナーが正しく動作していることを確認する
オンデマンドスキャナーが正しく動作していることを確認する
オンデリバリー電子メールスキャナーが正しく動作していることを確認する
VirusScan Enterprise フォルダーの除外が正しく動作していることを確認する
スパイウェア対策コンポーネントまたはアドオンが正しく動作していることを確認する
エンドポイントセキュリティマルウェア対策スキャンインターフェース (AMSI) が正しく動作していることを確認する
エンドポイントセキュリティスクリプトスキャンが正しく動作していることを確認する

注: EICAR テストファイルをマカフィーウイルス対策製品で使用する場合は、ファイルを検出、ブロック、隔離できますが、駆除はできないことに注意してください。これは、EICAR ファイルに真のウイルスコードが含まれていないためで、EICAR テストファイルはウイルス対策製品が実際のウイルスであるかのように応答するように設計されているためです。ただし、EICAR ファイルを駆除は失敗します。これは予想されることです。

解決策

オンアクセススキャナーが正しく動作していることを確認する
オンアクセススキャナーが動作していることを確認するには、オンアクセススキャンを無効にして、EICAR テストファイルをシステムにコピーしてから実行してみます。

オンアクセススキャンを無効にします。

注: この手順は、ご使用のオペレーティングシステムと製品によって異なります。ソフトウェアの適切なユーザーガイドを参照してください。

McAfee 製品のドキュメントについては、次のサイトの Enterprise 製品マニュアルポータルを参照してください。https://docs.mcafee.com
EICAR テストファイルのコピーを保存または作成します (上記の「サマリー」を参照してください)。
オンアクセススキャンを有効にします。
EICAR ファイルを起動してみます。

オンアクセススキャナーは、正しく機能している場合、マルウェアとして検出されます。

解決策

オンデマンドスキャナーが正しく動作していることを確認する
オンデマンドスキャナーが正しく動作していることを確認するには、EICAR テストファイルをシステムにコピーして、右クリックしてスキャンを実行します。

EICAR テストファイルのコピーを保存または作成します (上記の「サマリー」を参照してください)。
オンデマンドスキャンを有効にします。
EICAR ファイルを右クリックしてポップアップメニューから脅威のスキャンを選択します。

オンデマンドスキャナーが正しく機能している場合、マルウェアとして検出されます。

解決策

オンデリバリー電子メールスキャナーが正しく動作していることを確認する
オンデリバリー電子メールスキャナーが動作していることを確認するには、Telnet ユーティリティを使用して EICAR テスト文字列を既知の受信者に送信できるように接続します。ローカルのメールクライアントから EICAR テスト文字列を含む電子メールを送信しようとすると、使用中のウイルス対策ソフトウェアがテスト文字列を検出してそれをブロックします。

[スタート]、[ファイル名を指定して実行] の順にクリックし、cmd と入力して、ENTER キーを押します。
telnet 25 と入力して ENTER キーを押します
(ここで、はメールサーバー/プロバイダーの SMTP (送信) サーバーの名前です。)
HELO または "EHLO " と入力して ENTER キーを押します。
MAIL FROM:you@server.com と入力して ENTER キーを押します。
応答は次のようになります: 250 ok
RCPT TO:yourname@yourserver.com と入力して ENTER キーを押します。
応答は次のようになります: 250 ok
メッセージを書き込むには、DATA と入力して ENTER キーを押します。
最初の行に SUBJECT:yoursubject と入力して ENTER キーを 2 回押します。
メッセージを入力します。この場合は EICAR テスト文字列を入力して ENTER キーを押します。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
ピリオドを 1 つを入力して (.) その行を終え、ENTER キーを押してメッセージを送信します。
次の例のいずれかに似た応答を受け取ります。
- Message accepted for delivery
- 250 OK id=`長い ID`
Telnet を終了するには、QUIT と入力して ENTER キーを押します。

解決策

VirusScan Enterprise フォルダーの除外が正しく動作していることを確認する

VSE の除外が正しく構成されているかを確認するには、EICAR ファイルを除外フォルダーにコピーしてから、それを実行します。 VSE の除外の詳細については、KB50998 を参照してください。

アクセス保護ルール Prevent McAfee services from being stopped (McAfee サービスが停止しないようにする) を無効にします。
1. [スタート]、[プログラム]、[McAfee]、[VirusScan コンソール] の順にクリックします。
2. [アクセス保護] を右クリックして、[プロパティ] を選択します。
3. Access Protection (アクセス保護) タブをクリックします。
4. 左下で、[McAfee サービスの停止を防止] の選択を解除します。
5. 適用、OK の順にクリックします。
McShield サービスを停止します。
1. [スタート]、[ファイル名を指定して実行] の順にクリックし、services.msc と入力して、[OK] をクリックします。
2. [McAfee McShield] を右クリックして [Stop] (停止) を選択します。
EICAR.COM のコピーをローカルハードディスクに保存します。
EICAR.COM をテストしたい除外フォルダーすべてにコピーします。
McShield サービスを開始します。
1. [スタート]、[ファイル名を指定して実行] の順にクリックし、services.msc と入力して、[OK] をクリックします。
2. [McAfee McShield] を右クリックして、[開始] を選択します。
3. [サービス] ウィンドウを閉じます。
EICAR.COM を実行します。
1. EICAR.COM をコピーしたフォルダーそれぞれを参照します。
2. それぞれの除外フォルダーにある EICAR.COM をダブルクリックします。
  除外が適切に構成されていれば、EICAR.COM は検出されずに起動します。使用している EICAR サンプルが検出されることを確認するために、除外されない場所でこのファイルを実行することによってもこれを確認できます。 VSE は、EICAR.COM をウイルスとして検出し、その実行を防止します。
アクセス保護ルール Prevent McAfee services from being stopped (McAfee サービスが停止しないようにする) を再度有効にします。
1. [スタート]、[プログラム]、[McAfee]、[VirusScan コンソール] の順にクリックします。
2. [アクセス保護] を右クリックして、[プロパティ] を選択します。
3. 左下で、[McAfee サービスの停止を防止] を選択します。
4. [適用]、[OK] の順にクリックします。
5. VirusScan コンソールを閉じます。

解決策

スパイウェア対策コンポーネントまたはアドオンが正しく動作していることを確認する
スパイウェア対策のソフトウェアが正しく動作していることをテストするには、EICAR-PUO テストファイルを作成します。 EICAR-PUO テストファイルは、標準の EICAR テスト文字列と同じように動作しますが、スパイウェア対策ソフトウェアからは、ウイルスではなく不審なプログラムとして検出されます。

EICAR-PUO テストファイルを作成するには、次の操作を行います。

メモ帳などのテキストエディターを起動します。
次のテキスト文字列を新しいメモ帳ファイルにコピーします。

X5]+)D:)D<5N*PZ5[/EICAR-POTENTIALLY-UNWANTED-OBJECT-TEST!$*M*L
[ファイル]、[保存] を選択します。
ファイル名を入力して、[保存] をクリックします。

注意:
- ファイルを識別しやすくするために、ファイル名を EICAR-PUO.COM として保存することをお勧めします。保存したファイルのサイズは 68 ～ 70 バイトになります。
- 標準の EICAR 検出のすべての機能は、EICAR-PUO に当てはまります。
- EICAR-PUO テストファイルは、標準の EICAR テストファイルと同じ方法で test カテゴリの下で識別されます。
- EICAR-PUO はスパイウェア対策テストファイルです。そのため、成功させるために PUP 検出を有効にする必要があります。

解決策

Endpoint Security マルウェア対策スキャンインターフェース (AMSI) が正しく動作していることを確認する
AMSI スキャンが正しく動作していることを確認するには、Endpoint Security （ENS）ポリシーの AMSI を有効にし、システム上の EICAR PowerShell コマンドを実行します。

注: AMSI はサポートされているオペレーティングシステムでのみ動作します。（例えば、Windows 10 と Windows Server 2016 です。)

ENS で AMSI 統合を有効にします。
PowerShell を開始して、次のコマンドを実行します。

powershell echo '"X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*"'
脅威の検出がトリガーされることを確認します。EICAR!ams!XXXXX

解決策

ENS スクリプトスキャンが正しく動作していることを確認する
ENS スクリプトスキャンが正しく動作していることを確認するには、ENS ポリシーのスクリプトスキャンを有効にして、EICAR HTML ファイルを作成します。

ENS ポリシーのスクリプトスキャンを有効にします。
ブラウザのスクリプトスキャンプラグインを有効にします。
メモ帳などのテキストエディターを開きます。
eicar.html ファイルを作成します。ファイルへ以下の内容を追加します。

注: eicar.html が作成される場所を参照するように HTML のソースパスを変更します。 (例えば、C:\temp\eicar.html です。)

<!DOCTYPE html>
<html>

<head>
<script type='text/javascript' src='file:///C:/temp/eicar.js'></script>
</head>
<body>
<h1>An Eicar Test</h1>
<p id="demo">Click the button</p>
<button type="button" onclick="eicar()">Try it</button>

</body>
</html>
eicar.js のオンアクセススキャンポリシーで除外を作成します。除外が作成されない場合、オンアクセススキャンはスクリプトスキャンではなく EICAR を検出します。
メモ帳などのテキストエディターを開きます。
C:\temp に eicar.js ファイルを作成します。ファイルに以下の内容を追加します。

function eicar() {
alert("X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*");
}
Internet Explorer を開いて、C:\temp\eicar.html を開きます。 button をクリックします。
ポップアップメッセージが表示されることを確認します。メッセージには、 "Internet Explorer がこの Web ページでスクリプトまたは ActiveX コントロールの実行を制限しています" と記載されています。
JC/Eicar で脅威の検出がトリガーされたことを確認します。

以前のドキュメント ID ^(Secured)

613376

免責事項

この記事の内容のオリジナルは英語です。英語の内容と翻訳に相違がある場合、常に英語の内容が正確です。一部の内容は Microsoft の機械翻訳による訳文となっています。

影響を受ける製品

Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Troubleshooting
VirusScan Enterprise 8.8

言語:

この記事は、次の言語で表示可能です:

German
English United States
Spanish Spain
French
Italian
Japanese
Korean
Dutch
Portuguese Brasileiro
Chinese Simplified
Chinese Traditional

Knowledge Center

McAfee 製品で EICAR マルウェア対策テストファイルを使用する方法

環境

概要

解決策

解決策

解決策

解決策

解決策

解決策

解決策

関連情報

以前のドキュメント ID ^(Secured)

免責事項

影響を受ける製品

言語:

Title

Title

Knowledge Center

McAfee 製品で EICAR マルウェア対策テスト ファイルを使用する方法

環境

概要

解決策

解決策

解決策

解決策

解決策

解決策

解決策

関連情報

以前のドキュメント ID (Secured)

免責事項

影響を受ける製品

言語:

地域を選択してください

Title

Title

McAfee 製品で EICAR マルウェア対策テストファイルを使用する方法

以前のドキュメント ID ^(Secured)