ClamWinベースのリアルタイム検出機能を備えたウイルス対策ソフト「Clam Sentinel」
オープンソースのウイルス対策ソフトウェア「ClamWin」は無償で使用でき、レガシーなOSにも対応しているのが特徴だが、常駐保護機能がないという欠点もある。このためサブ用途およびロースペック機向けが主で、常用にはあまり適さなかった。そこで利用したいのが「Clam Sentinel」である。
常駐保護は「リアルタイムスキャン」や「オートプロテクト」などとも呼ばれ、PCの動作を常に監視してウイルスの侵入を防ぐ、ウイルス対策ソフトの重要な機能だ。ClamWinにはこの常駐保護がないため、ファイルをダウンロードしたり解凍したりしたときは1つ1つ手動でスキャンする必要があった。Clam Sentinelを導入するとClamWinを使って常駐保護ができるようになり、PC上でファイルを追加/更新/コピーしたときに自動でウイルススキャンが実行されるようになる。わざわざ怪しいファイルを手動でチェックする手間がかからなくなるだけでなく、うっかりスキャンし忘れたことでウイルスの被害に遭うというリスクを減らすことができる。
また、独自のヒューリスティックスキャン機能も有しており、ClamWinのウイルス定義ファイルに登録されていない新種のウイルスも検出可能だ。対応OSがClamWinと同様Windows 98以降なのもありがたい。ただし、常駐保護による自動スキャンはファイルのアクセスや実行時には行われない。たとえばPC内に潜むマルウェアを誤ってダブルクリックしてしまったような場合に、実行を食い止めて感染を防止するということは不可能なので注意してほしい(図1)。
Clam Sentinelのインストール
Clam SentinelはSourceForge.JPのClam Sentinelダウンロードページから入手できる。後述するUSBメモリ上での運用を目的として.zip形式のアーカイブでも配布されているが、通常はWindowsのマークとともに「DL」と書かれたアイコンをクリックして、インストーラをダウンロードすればよい(図2)。
Clam SentinelはスキャンにClamWinのエンジンを使うため、当然ながら動作にはClamWinが必要になる。ClamWinのインストーラはSourceForge.JPのClamWinダウンロードページから入手可能だ。「リリースファイル一覧」の「その他全ファイル」から「clamwin」−「バージョン番号」−「clamwin-<バージョン番号>-setup.exe」とクリックしていき、ファイルをハードディスクに保存しよう。その後インストーラを実行し、インストールを行う。詳しいインストール方法は、OSSショートガイドのClamWinの回を参照されたい(図3)。
ClamWinの導入が完了したら、Clam Sentinelをインストールしよう。保存しておいたインストーラを実行し、言語の選択画面で「Japanese」を選んでから「OK」をクリックする(図4)。
インストーラが立ち上がったら画面の指示に従って「次へ」をクリックしていく。「使用許諾契約書の同意」画面では「同意する」を選択してから作業を続行すればよい(図5)。
Clam SentinelでPCを常駐保護する
インストール終了時に「Clam Sentinelを実行する」にチェックを入れて「完了」をクリックするか、スタートメニューの「すべてのプログラム」−「Clam Sentinel」−「Clam Sentinel」を選択すると、Clam Sentinelが起動する。初回起動時は図6の「固定ディスクを監視する」画面が表示されるので、Clam Sentinelで監視対象にするドライブを選ぼう。通常はすべてのドライブにチェックを入れて「確認」をクリックするとよい。
続けて図7の「システム起動時にClam Sentinelを起動しますか」という確認画面が表示されるので、「はい」をクリックしよう。以後はPCを立ち上げた際にClam Sentinelが自動で実行され、常駐する仕組みだ。間違えて「いいえ」をクリックした場合は、あとから設定で修正できる。
初期設定が終わると通知領域にアイコンが表示され、常駐保護が開始される。保護が有効になっている状態でファイルのダウンロードやコピーなどを行うと、バックグラウンドでClamWinのエンジンによるスキャンが行われる。もしウイルスが検出された場合は、ClamWinの隔離フォルダに自動で隔離される。試しにウイルス対策ソフトの動作確認に用いるテストファイル「eicar」をダウンロードしたところ、ブラウザのキャッシュフォルダと保存先のフォルダから隔離が行われた(図8)。
PCにUSBメモリや外付けハードディスクなどを接続すると常駐保護により自動的に接続が検出され、図9のような確認画面が表示される。ここで「はい」をクリックするとClamWinのエンジンによって接続したドライブ全体のスキャンを実行できる。Clam Sentinelは、対象ドライブへの保存やコピー、移動といった操作を行わない限りスキャンを行わないため、全体スキャンを実行することを強く推奨する。
「はい」をクリックすると背景が灰色のプロンプトが立ち上がり、全体スキャンが実行される。スキャン中にウイルスが発見された場合はClamWinの隔離フォルダに移動される。スキャンが終了したらレポートが表示されるので、キーボードのいずれかのキーを押して画面を閉じよう(図10)。
通知領域のアイコンをクリックまたは右クリックするとClam Sentinelのメニューが表示される。メニューから「メモリをスキャンする」を選択すると現在PC上で動作しているプロセスのスキャンを行える。「隔離フォルダ」を選ぶと、ClamWinの隔離フォルダがエクスプローラで開く。誤検出と思わしきファイルがあった場合は隔離フォルダを開いて「VirusTotal」などで確認するとよいだろう(図11)。
Clam Sentinelの設定と高度な使い方
Clam Sentinelのヒューリスティックスキャン機能はデフォルトだと無効に設定されている。機能を有効にするには通知領域のアイコンをクリックし、表示されるメニューから「設定」−「新しいマルウェアに対してシステムをモニタする」−「疑わしきファイルのみ検出」を選んでチェックを入れればよい。なお、「システムに対して疑わしきファイルを検出して警告する」は、通常のヒューリスティックスキャンに加えて、Windowsのシステムフォルダやレジストリへ行われるすべての変更/書き込みを警告するオプションだ。通常は使う必要がないだろう(図12)。
ヒューリスティックスキャンが有効になっているときにウイルスの疑いがあるファイルが検出された場合は、図13のような警告が表示され、必要に応じてClamWinの隔離フォルダへ隔離が行われる。Clam Sentinelのヒューリスティックスキャンはふるまい検知によるものなので、システムフォルダへ暗号化されたデータが書き込まれるなどの挙動があった際に、不審なファイルとして検出される。このため、デバイスドライバやセキュリティパッチのような安全なファイルが誤検出されることもあるので注意が必要だ。
正規のファイルが悪意のあるファイルと誤検出された場合は「ホワイトリスト」に登録し、安全であることを明示的に指定しておこう。隔離フォルダから元のフォルダに移動しても、再度誤検出されることがなくなる。ホワイトリストへ登録するには、まず通知領域のアイコンをクリックし、表示されるメニューから「詳細設定」−「スキャンされないパスまたはファイルを指定」を選ぶ(図14)。
登録画面が表示されたら画面右下のアイコンをクリックして登録したいファイルやフォルダを指定する。左側のアイコンをクリックするとファイル、右側をクリックするとフォルダを選択可能だ。「追加」をクリックしてから「確認」をクリックすると、以後登録したファイルやフォルダはウイルスとして検出されなくなる。なお、ホワイトリストに登録するとClamWinのエンジンによる自動スキャンとClam Sentinelによるヒューリスティックスキャン、双方の監視対象から外されるので慎重に行いたい(図15)。
Clam SentinelをUSBメモリで運用する
Clam Sentinelは「ClamWin Portable」と組み合わせることでUSBメモリから運用することが可能だ。利用するにはまずClamWin PortableをSourceforge.jpのClamWin Portableダウンロードページから入手しよう。「その他全ファイル」から「ClamWin Portable」−「ClamWin Portable <バージョン番号>」−「ClamWin Portable_<バージョン番号>_English.paf.exe」とクリックすればダウンロードできる(図16)。その後インストーラを実行しUSBメモリに導入する。
USBメモリから「ClamWinPortable.exe」を実行し、定義ファイルのダウンロードやスキャンの設定を行う。なお、Clam Sentinelの導入後は、定義ファイルのアップデートをのぞきClamWinPortable.exeを実行する必要はなくなる(図17)。
Clam Sentinelの.zip形式アーカイブをダウンロードページからダウンロードして解凍する。ClamWinPortableをインストールしたフォルダから「\App\clamwin\bin」フォルダを開き、解凍して生成されたファイルをすべてコピーしよう。その後、USBメモリ内から「ClamSentinel.exe」を実行すると、ポータブル環境で常駐ウイルス対策が可能になる(図18)。
USBメモリを取り外す際には、必ずClam SentinelとClamWinPortableを終了するように注意されたい。どちらも通知領域のアイコンを右クリックして表示されるメニューから終了できる(図19)。
今回紹介したツール:Clam Sentinel
- 作者:Andrea Russo
- 動作環境:Windows
- ライセンス:GPL
- ホームページ:http://clamsentinel.sourceforge.net/