Loading...


ナレッジセンター


ウイルス サンプル、誤検知、誤検知防止のためのファイルの駆除、および検出に関する異議の提出方法
技術的な記事 ID:  KB68030
最終更新:  2015/01/29
評価:


環境

McAfee DAT ファイル
McAfee Labs
複数のマカフィー製品

概要

この記事は、ウイルス サンプル、誤検知、会社のソフトウェアまたはイメージ、および不審なプログラム(PUP)の検出に関する異議の提出方法について説明します。

ファイル送信の考えられる理由:

ソリューション      理由
マルウェア検出の失敗(ウイルスが見つからない)または検出されたマルウェアの駆除の失敗の疑いがある
製品から、または Global Threat Intelligence (GTI) を通じた誤検知の疑いがある
マカフィー ホワイトリスト プログラム: 会社のプログラムを McAfee DAT ファイルに対して検証するために提出
PUP 検出の異議

解決策 1

感染の可能性があるファイルの提出
感染の可能性があるファイルが特定されたが、マカフィーのソフトウェア以外により検出された場合、または検出されたが駆除されなかった場合は、評価のためにサンプルを McAfee Labs に送信できます。

感染の可能性があるファイルを提出する方法は 3 つあります。

  • McAfee ServicePortal(マカフィー ユーザーの優先オプション)
  • GetSusp (感染の可能性のあるシステムを分析するためのツール) 
  • 電子メール
McAfee ServicePortal 経由で McAfee Labs にサンプルを提出
  1. 感染したファイルを見つけて、感染したサンプルとして送信します。感染の可能性のあるファイルを見つける方法については、KB53094 を参照してください。
  2. サンプルをパスワード保護された .zip ファイルにアーカイブします。パスワードを infected (すべて小文字) に設定します。

    .zip ファイルを作成して、パスワードで保護する方法の手順については、以下を参照してください。
  3. McAfee ServicePortal http://mysupport.mcafee.com にログインします。
  4. サービス リクエスト タブをクリックします。
  5. サンプルの提出 タブをクリックします。
  6. 一般的な情報 の下の連絡先の詳細が正しいことを確認します。
  7. 提出の詳細 セクションで、次の情報を追加します。
     
    • 問題のタイプ(必須)
      • Artemis 誤検知(Global Threat Intelligence からの誤検知)
      • 駆除エラー
      • 検出エラー
      • 誤検知の疑い
      • VIL リクエスト (情報のリクエスト [重大度 5] - McAfee Threat Library へのエントリの追加または更新要)
         
    • スキャン エンジン
    • DAT バージョン
    • 簡単な説明(100 文字以下)
    • 説明(問題の詳細な説明、最大 2000 文字)
       
  8. サンプルセクションで、参照をクリックし、収集したサンプルを含む.zip ファイルに移動します。

    重要: .ZIP ファイルは 10 MB 以下でなければならず、30 ファイルを超えることはできません。パスワードを infected (すべて小文字) に設定します。感染の可能性がある、または誤検知のファイル以外のものを送信しないでください。ログ ファイルやエラー レポートなどのその他のファイルは処理または考慮されません。
     
  9. アップロード をクリックします。
  10. ファイル アップロードが完了したら、提出 をクリックします。

    サンプルが正しくアップロードされると、確認メッセージが表示され、新しいサービス リクエスト (SR) 参照番号が表示されます。SR 番号は、サービス リクエストの表示 タブの未解決の SR にもリストされています。

    サンプルが正しくアップロードされなかった場合も SR が作成されますが、サンプルを電子メールで virus_research@avertlabs.com に送信する必要があります。電子メールに SR 参照番号を引用して、パスワード保護された .ZIP ファイルを添付することを忘れないでください。詳細情報は、電子メールによる McAfee Labs へのサンプルの送信 セクションを参照してください。  
サンプルのアップロード後に予測されること
  • サンプルが解析されるまでは、追加の通知を受信することはありません。
  • 提出されたサンプルに関連する Extra.DAT が ServicePortal に掲載されると、入手可能に成ったことが電子メールで通知されます。関連する ServicePortal でサービス リクエストを確認して、Extra.DAT ファイルをダウンロードしてください。  電子メールまたはその他の方法で Extra.DAT ファイルを受け取ることはありません。
    • ePolicy Orchestrator で Extra.DAT を手動でチェックインして配備する方法については、KB67602 を参照してください。
    • Extra.DAT をローカルで VirusScan Enterprise 8.x 以降に適用する手順については、KB50642 を参照してください。
    • extra.DAT を McAfee Security for Microsoft Exchange に適用する手順については、KB76201 を参照してください。
GetSusp を使用した McAfee Labs へのサンプルの送信:
GetSusp ユーティリティを使用して、サンプルを送信します。マカフィーでは、感染の疑いのあるコンピュータを分析するときにまず第一に選択するツールとして GetSusp を使用することをお勧めします。GetSusp の FAQ を確認するには、KB69385 を参照してください。
GetSusp をダウンロードするには、http://www.mcafee.com/us/downloads/free-tools/getsusp.aspx にアクセスしてください。有効な承認番号がなくても、GetSusp を使用してサンプルをマカフィーに送信できます。

重要:
  • 送信するファイルは 10 MB 以下にしてください。
  • 送信できるファイルは最大 30 ファイルです。
電子メールによる McAfee Labs へのサンプルの送信:
調査対象のファイルを添付したメールを virus_research@avertlabs.com 宛にメール送信することによって McAfee Labs に直接サンプルを提出することができます。電子メールでサンプルを送信するときに、添付ファイルがパスワード infected (すべて小文字)でパスワード保護されている .ZIP ファイルに含まれていることを確認してください。自動化されたシステムが、有効な脅威があるかどうか判断できない場合は、送信されたサンプルは追加の解析にエスカレーションされます。.ZIP ファイルの作成の詳細については、以下を参照してください。
重要: .ZIP ファイルは 10 MB 以下でなければならず、30 ファイルを超えることはできません。

解決策 2

誤検知の送信
ファイルが誤検知または誤って分類された場合は、この手順に従ってサンプルを McAfee Labs に送信してください。  

誤検知サンプルを McAfee ServicePortal から送信
望ましい送信方法は、McAfee ServicePortal を経由する方法です。ServicePortal を使用してサンプルを送信する手順は、ソリューション 1 を参照してください。

ServicePortal を使用して誤検知を送信するには、提出するファイルに適切な 問題の種類 を選択してください。

  • Artemis 誤検知(Global Threat Intelligence からの誤検知)
  • 誤検知の疑い (その他の誤検知)

電子メールの送信
サンプルを電子メールで送信する場合は、McAfee Labs Virus Research:(virus_research@mcafee.com) に送信してください。

  • 電子メールの件名の最初に FALSE という単語を付けてください。例:

    FALSE: McAfee が検出した社内ファイル
  • マカフィー製品のオンアクセス / オンデマンド スキャン ログ ファイルと、使用した DAT とエンジンのバージョンを含めてください。 また、ファイルが間違って検出されたと考える理由に関する情報も含めてください。この情報はサンプルの解析に役立ちます。

    提供する情報:(例)

    送信したファイルは誤検知されたと考えられますので、確認してください。

    製品: VirusScan Enterprise 8.8
    DAT バージョン: 6587
    エンジン: 5400
    問題の説明: このアプリケーションは、データベースを駆除するための社内ツールとして開発されました。VirusScan による検出を示す添付の OAS/ODS ログファイルを参照してください。

    注: 上記のとおりリクエストしたファイルのすべてが提出されない場合は、解析が遅れることがあります。

サンプルの解析が完了すると、以下のいずれかの結果になります。

  • サンプルは感染していないと考えられます。検出を抑制するように、直近の DAT リリースで更新されます。
  • サンプルが間違って分類されています。これは再分類されて、検出は直近の DAT リリースで更新されます。
  • ファイルの分析により、サンプルが正しく検出されたかを判断します。結果は通知されます。
よくある質問
ユーザーとして、今後どのようにすれば誤検知を防止できますか。
McAfee Labs では、サンプルを品質保証テストプロセスに受け入れて、すべての DAT リリースでスキャンして誤検知の防止に役立てます。自社開発のソフトウェアまたはイメージを McAfee Labs に提出して、McAfee DAT ファイルに対する検証に反映させる方法の詳細については、ソリューション 3 を参照してください。

以前、サンプルを電子メールで送信する際に、件名にキーワード NOAUTO を使用しました。このキーワードは現在は認識されないのでしょうか。
自動応答メッセージを防ぐ NOAUTO は現在でも使用できるキーワードです。ただし、誤検知の可能性を迅速に特定して処理するために、マカフィーでは、キーワード FALSE を使用する新しいプロセスを利用できるようにしました。

解決策 3

感染していないソフトウェアをホワイトリストに登録するための提出 (誤検知防止)
McAfee Labs (旧名称 McAfee Avert Labs) コア セキュリティ アップデート チームは、誤検知テスト ツールを、リリース前の拡張テストで使用しています。 このテスト ツールはカタログ データの大きなアレイで、コア セキュリティ アップデート チームが、リリースされた DAT で誤検知が発生することを防いでいます。 これは既知のクリーンなデータのコレクションで、マカフィーが、Intel®、Microsoft および IBM を含む商用ソフトウェアのベンダーから入手したものです。 さらに、マカフィーの誤検知防止チームは、アクティブにインターネットからデータをターゲットにしてツールにダウンロードしています。

マカフィーは、お客様、パートナー、およびサードパーティ ソフトウェア メーカーに、独自のソフトウェアをツールに含めるために提出できるような機会を提供しています。 これにより、DAT がお客様のアプリケーションやデータの誤検知を大幅に低減することができます。 誤検知テスト ツールは、分離されたネットワーク上にあり、これに含まれるデータは誤検知特定テストにのみ使用されます。

DAT のリリースのたびに、誤検知ツール上のデータがスキャンされ誤検知が特定されます。 特定された誤検知は、McAfee Labs の研究者に渡されて解析されます。McAfee Labs 研究チームは、DAT の各リリースの最終承認をします。

データ提出プロセス

重要:

  • 誤検知テスト ツールに含めるためにデータを提出する場合は、ソフトウェアを社外に配布することが法的に認められていることを確認してください。マカフィーは、ソフトウェアの違法な配布に対して責任を負いません。
  • お客様、パートナー、および他のユーザーは、ソリューション 2 のガイドラインを使用してマカフィーの誤検知防止(データ送信)チームに連絡する前に、既存の検出または相互操作性の問題を解決する必要があります。
ファイルを誤検知テスト ツールに含めたい場合は、以下の方法でファイルを送信することができます。
 
  • datasubmission@mcafee.com に連絡して、ダウンロード場所をマカフィーに通知してください。
  • 誤検知提出 FTP サイトにファイルをアップロードします。FTP アカウントをリクエストするには、datasubmission@mcafee.com までご連絡ください、
サポートされている提出形式は、ZIP、RAR、または非圧縮です。現在、マカフィーでは、Norton Ghost、ISO、VMware または他の独自のイメージ形式を処理できません。特定のアプリケーションまたはデータを提出する場合は、インストーラーに加えて、インストール パッケージのコンテンツを抽出して提出して、すべてのコンポーネントがホワイトリストに追加されるようにしてください。

データが処理されスキャン ツールに移されると、確認の電子メールが送信されます。マカフィーがデータを受信してから処理するまでの時間は、提出ファイルのサイズや現在のワークロードによって異なりますが、2 営業日を超えることはありません。


提出したデータはどのようになりますか。
可能な場合は、データは抽出され、各ファイルを一意に識別するためのハッシュが作成されます。 ハッシュは既存データのデータベースに対して比較され、既存のものがあれば棄却されます。 誤検知ツールに登録されていない新しいデータは、ツールに含められて、各 DAT リリースでスキャンされます。


提出の詳細情報
提出には、以下を含む(ただしこれらに限定されない)可能な限りの情報を含めてください。
  • 会社名:
  • 担当者名
  • アドレス
  • 連絡先電話番号(国コードを含む)
  • 連絡先の電子メール アドレス
  • McAfee SAM またはアカウント マネージャー名
  • ご使用のマカフィー製品(製品バージョンとパッチ レベルを含む)
  • 使用したスキャンと製品の設定
  • 郵便で提出する場合は、同封したメディアの数とファイル数を含めてください。
  • 提出するコンテンツの説明(例: 元の製品、社内データ、ソフトウェアの機能と目的)
  • その他の関連情報(更新頻度など)
追加の情報やご質問がありましたら、datasubmission@mcafee.com のマカフィー 誤検知防止チームまでお問い合せください。

解決策 4

PUP の異議の送信
マカフィーがお客様のソフトウェアを間違って PUP (アドウェアまたはスパイウェアなど)に分類していると考えられる場合は、McAfee Detection Dispute Submission Form を作成してください。詳細については、https://secure.mcafee.com/apps/mcafee-labs/dispute-form.aspx を参照してください。

注: この手続はソフトウェアの開発者と製造者向けであり、他の誤検知や相互操作性の問題のための手続きを混同しないでください。

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

影響を受ける製品


Threat Prevention and Removal

Beta Translate with

Select a desired language below to translate this page.