セーフモードで検知される脅威について

http://communityjp.norton.com/t5/forums/forumtopicpage/board-id/NIS_NAV/message-id/943/

 

上記でN_Tokitaさんは以下のように回答しています。

 

セーフモード時のスキャンは通常のスキャンより積極的な検出を行います。

強力な検出力なので、誤検知の可能性も増えます。

そのため、今回のような通常のスキャンでは検出されなかった物がセーフモード時のスキャンで検出される事になったわけです。

 

 

誤検知であれば問題はありませんが、本当の「脅威」であった場合、それが通常のスキャンで検知されないのは、問題ではないでしょうか?

ノートンでは、セーフモードでのスキャン時に検知される、本当の「脅威」に関して、「(通常スキャンで検知されなくても)問題はない」「危険性が低いから、通常スキャンで検知されない。危険性が低いから、検知されなくても問題ではない」としているのでしょうか?

 

 

一般的に、セーフモードでスキャンするという発想はなかなか思いつかないと思います。

私自身、何年もノートンを使っていますが、セーフモードでのスキャンなど考えたこともありませんでした。

正式回答なしでしょうか?

 

ということは、ノートンとしては、「セーフモードでだけ検出されるような、本当の脅威は無視、軽視」という姿勢であるということでよろしいんでしょうか?

pal様

 

回答が遅れてすみません。

すっかり見逃していました。

 

さて、セーフモードでのスキャンについてですが、スキャン結果が誤検知でなく、本当の脅威であった時、問題ではないかという事ですよね?

確かに、通常のスキャンで発見できないことは問題だと思います。

ただ、脅威も進化していて、ステルス化(自分自身を隠す)が進んでおり、無理して見つけようとすると、誤検知が非常に多くなってしまい、どれが本当の脅威なのかわからなくなってしまう恐れがあります。

 

さらに、一部のボットなどのように、普段は何もせず、単なるファイルやプログラムを装っていますが、ひとたび司令を受けると破壊活動や情報漏えい活動を展開するものもあります。

こういった物をOnly Oneや極少数の標的向けに作成されたら、スキャンによるパターンマッチングでは発見が困難です。

それでも無理して発見しようと試みているのが、セーフモード下でのスキャンであったり、ノートン パワー イレーイサーなのです。

 

そういった脅威に対して通常のスキャンで検知できないのは危険ではないか? という疑問は当然出て来ると思います。

そうした疑問に答えるのがノートンに搭載されているSONARというヒューリスティック技術(振る舞い検出)なのです。

システムの奥底に入り込んで、通常のスキャンでは発見できない脅威でも、活動を開始する時は表面に出てきます。

SONARは表面に出ようとする振る舞いをキャッチして削除します。

こういった2重、3重の防御を行なっているのです。

 

ノートンは決して脅威を無視、軽視しているわけではありません。

スキャンという行為だけを見ると逃しているように感じますが、実際はスキャンの前にノートン インサイトで仕分けを行なっていますし、スキャン後にもヒューリスティックで常に見張っているのです。

 

弊社の姿勢をご理解いただけたでしょうか?