すべてのプロダクト
Search

このプロダクト

    Security Center:ウイルスの検出と駆除

    ドキュメントセンター

    Security Center:ウイルスの検出と駆除

    最終更新日:Oct 21, 2025

    ランサムウェアやクリプトジャッキングなどのマルウェアにサーバーが侵入されると、サービスが麻痺し、データ損失のリスクが生じます。ウイルス検出と駆除は、ディープスキャンと精密なクリーンアップにより、サーバー上の悪意のある脅威を発見・駆除し、正常な業務への復旧を支援します。

    注意事項

    • サブスクリプションサービス: Anti-virusAdvancedEnterprise、または Ultimate エディションで利用できます。現在のエディションがサポートされていない場合は、「サブスクリプションインスタンスの購入」をご参照ください。

      説明

      サーバーが Anti-virusAdvancedEnterprise、または Ultimate 保護エディションである必要があります。詳細な手順については、「ホストとコンテナーのセキュリティクォータの管理」をご参照ください。

    • 従量課金サービス: Host and Container Security サービスを有効にする必要があります。有効になっていない場合は、「従量課金機能を有効にする」に進んでください。

      説明

      サーバーは Anti-virusHost Protection、または Host and Container Protection レベルである必要があります。詳細な手順については、「従量課金インスタンス」をご参照ください。

    機能概要

    ウイルス検出と駆除は、Alibaba Cloud の機械学習ベースのウイルス検出エンジンとリアルタイムで更新されるウイルスデータベースを統合しています。スタートアップ項目、アクティブプロセス、カーネルモジュール、機密ディレクトリなど、サーバー上の主要な場所をスキャンすることで、さまざまな脅威を効果的に特定し、処理します。

    主な機能

    • 検出範囲: プロセス、スタートアップ項目、スケジュールされたタスク、機密ディレクトリなどの主要なスキャン項目をカバーします。

    • 応答方法: 自動隔離、ディープクリーンアップ、ホワイトリスト管理など、複数の対応アクションをサポートします。

    • スキャンモード: 即時スキャン、定期スキャン、カスタムディレクトリスキャンなど、柔軟なモードを提供します。

    利用シーン

    • 定期的なセキュリティチェック: スケジュールされたセキュリティ検査と脅威のクリーンアップを実行します。

    • インシデント対応: セキュリティインシデント後の迅速な対応とフォレンジックに使用します。

    • コンプライアンスと強化: コンプライアンス監査要件を満たし、システムセキュリティを強化します。

    重要

    このサービスは、リアルタイム保護やフルスキャンをサポートしていません。リアルタイム保護は、ファイルが作成、変更、アクセスされたとき、またはプログラムが実行されたときに、脅威を自動的に検出してブロックします。フルスキャンは、すべてのシステムファイルに対して包括的なセキュリティチェックを実行します。

    サポートされるウイルスの種類とスキャン項目

    • ウイルスの種類: ランサムウェア、クリプトジャッキング、DDoS トロイの木馬、トロイの木馬、バックドア、悪意のあるプログラム、潜在的に不要なプログラム (PUP)、ワーム、不審なプログラム、自己変異型トロイの木馬。

    • スキャン項目: アクティブプロセス、隠しプロセス、Docker プロセス、カーネルモジュール、インストール済みプログラム、動的ライブラリハイジャック、サービス、スケジュールされたタスク、スタートアップ項目、機密ディレクトリ。

    ウイルスのスキャン

    ウイルススキャンには、即時スキャン定期スキャンの 2 つのメソッドがあります。

    1. コンソールにログイン

      Security Center コンソールにログインします。コンソールの左上で、資産のリージョン (China または Outside China) を選択します。

    2. サービスの承認

      この機能を初めて使用する場合、Security Center のサービスリンクロールを承認するプロンプトが表示される場合があります。[Authorize Now] をクリックし、画面の指示に従います。

      説明

      承認が成功すると、Security Center は自動的に AliyunServiceRoleForSas サービスリンクロールを作成します。詳細については、「Security Center のサービスリンクロール」をご参照ください。

    3. スキャン方法の選択

      • Scan Now (即時スキャン):一時的で緊急のスキャンタスクには、[Scan Now] または [Scan Again] をクリックします。

      • Periodic Scan (定期スキャン) 【推奨】:日常的な自動検査には、ページ右上の [Scan Settings] をクリックして、自動スキャンポリシーを設定することを推奨します。

    4. パラメーターの設定

      以下の表の説明に従ってスキャンパラメーターを設定し、[OK] または [Next] をクリックしてタスクを開始します。

      パラメーター

      説明

      Scan Cycle

      定期スキャンにのみ使用されます。自動スキャンの時間間隔と実行ウィンドウを設定します。

      Scan Mode

      • [Quick Scan]:日常の検査に推奨されます。アクティブなプロセス、スタートアップ項目、機密ディレクトリなどを自動的に検出します。

      • [Custom Directory Scan]:指定したディレクトリをスキャンします。複数の絶対パスを改行で区切って入力し、対象を絞った調査を行うことができます。

        重要

        • 1 つのタスクでスキャンできるファイルは最大 30,000 件です。この制限を超えると、タイムアウトが発生したり、一部のファイルがスキャンされなかったりする可能性があります。

        • 1 ファイルの最大サイズは 10 MB です。

      Memory Check

      メモリ内の悪意のあるファイルコードと隠しプロセスを検出します。

      説明

      この機能は、リソース消費量とスキャン時間を増加させます。オフピーク時間帯、または高度な脅威が疑われる場合に有効にしてください。

      Scan Scope

      • [All Assets]:エディション要件を満たすすべてのサーバーをスキャンします。

      • [By Asset]:個々の資産を指定できます。

      • [By Group]:選択した資産グループ内のすべての資産をスキャンします。新しい資産がグループに追加されると、自動的にスキャン範囲に含まれます。

      • [By VPC]:選択した Virtual Private Cloud (VPC) 内のすべての資産をスキャンします。新しい資産が VPC に追加されると、自動的にスキャン範囲に含まれます。

    5. タスク進捗の表示

      (任意) [Virus Detection and Removal] ページで、右上隅にある [Task Management] をクリックして、スキャンタスクのステータスと進捗状況を表示できます。

    ウイルスアラートの処理

    スキャンが完了したら、検出されたウイルスアラートを速やかに処理して、サーバーのセキュリティを確保してください。

    重要

    ウイルス検出と駆除機能によって生成されたアラートは、セキュリティアラートモジュールと同期します。どちらのモジュールでもアラートを処理でき、ステータスは双方向に同期されます。

    処理前のチェックリスト

    対応方法を選択する前に、サーバーにログインして不審なファイルに関する基本情報を確認し、ビジネスへの影響を評価することを推奨します。

    1. ファイル情報の確認: システムファイルやビジネスファイルの誤検知を避けるため、パス、署名、ハッシュ値を確認して、ファイルがウイルスであるかどうかを検証してください。

    2. プロセスと所有権の確認: ファイルが重要なサービス (nginxmysql 関連コンポーネントなど) によって使用されているかどうかを確認します。

    3. ビジネス影響評価: ファイルがビジネスアプリケーションの一部であるか、削除するとサービスに影響が出るかを確認します。

    応答方法の選択

    アラートリストで、対象のアラートを見つけて [Handle] をクリックします。次に、評価に基づいてアクションを選択します。アラートの左側にあるドロップダウンアイコンをクリックすると、ウイルスファイルのパスなどの詳細を表示できます。

    image

    応答方法

    利用シーン

    Deep Cleanup

    ファイルがウイルスであること、特にランサムウェアやクリプトジャッキングなどの永続的なウイルスであることが確認された場合。

    Add to Whitelist

    アラートが誤検出であることが確認され、将来的に同様のアラートを防ぎたい場合。

    警告

    アイテムをホワイトリストに追加すると、そのアイテムに対する新しいアラートは生成されなくなります。このオプションは注意して使用してください。

    Ignore

    アラートが誤検出であるか、許容可能なリスク (例:承認された侵入テスト、メンテナンスウィンドウ中の異常な動作) であることが確認された場合。

    Manually Handled

    すでにサーバーにログインし、他の方法で脅威を手動で削除した場合。

    ディープクリーンアップ (推奨)

    ディープクリーンアップは、Security Center のセキュリティ専門家が、駆除が困難なウイルスの詳細な分析とテストに基づいて開発した専門の駆除ツールです。

    • プロセス:

      • 悪意のあるウイルスプロセスの強制終了:実行中の悪意のあるウイルスプロセスをブロックし、さらなる業務中断を防ぎます。

      • 悪意のあるファイルの隔離:Security Center はウイルスファイルを隔離領域に移動します。隔離されたファイルの管理も実現できます。

      • ウイルス永続化メカニズムの削除:crontab エントリや悪意のあるダウンロード元などの永続化手法に対して、専門的な分析および駆除機能を提供します。AI によるインテリジェントな学習機能も取り入れ、継続的に駆除能力を向上させています。

    • 結果:

      • ステータスの更新:アラートのステータスが「処理済み」に変わります。

      • スナップショットの作成:[Automatically Create Snapshot and Fix Risk] を選択した場合、Security Center はサーバーのシステムディスクのスナップショットを作成し、データをバックアップします。

        重要

        • スナップショットの作成と保持には、スナップショットサービスによる料金が発生します。このサービスはデフォルトで従量課金制 (後払い) を使用します。料金の詳細については、営業担当者にお問い合わせください。

        • [Fix directly without creating a snapshot] を選択した場合、ビジネスファイルの誤った削除によるサービス中断のリスクがあり、スナップショットから復元することはできません。

    ホワイトリストに追加 (Add to Whitelist)

    • 結果:

      • ステータスの更新:現在のアラートのステータスが Whitelisted (ホワイトリストに登録済み) に更新されます。

      • その後の影響:同じアラートが再度発生した場合、システムは新しいアラートを生成せず、既存のアラートの最終発生時刻を更新します。

        「Same Alert (同じアラート)」とは何ですか?

        「同じアラート」とは、非常に一貫した特徴を持つセキュリティ脅威を指します。例:

        • ウイルスアラートの場合:同一資産内の、パスと MD5 が同じウイルスファイル。

        • 異常なログインの場合:同一資産への、同じ IP アドレスからのログイン。

    • リスクに関する通知:

      ファイルをホワイトリストに追加すると、セキュリティ監視から除外されます。このオプションは注意して使用してください。ホワイトリストからアイテムを削除する方法については、「ホワイトリストと無視に関する質問」をご参照ください。

    無視 (Ignore)

    • 結果:

      • ステータスの更新: 現在のアラートのステータスが Ignored (無視済み) に更新されます。

      • その後の影響: このアクションは将来の検出に影響しません。同じ脅威が再発した場合、システムは新しいアラートを生成します。

    • リスクに関する通知:

      • 「Ignore」はアラートのステータス管理アクションであり、アラートをトリガーした根本的なセキュリティ問題を解決するものではありません。

      • 実際の攻撃を見逃さないように、アラートが誤検出であることを確認した後、または関連するリスクを評価して受け入れた後にのみ、この操作を実行してください。

    手動処理済み (Manually Handled)

    • 結果:

      • ステータスの更新:現在のアラートのステータスが Handled (処理済み) に更新されます。

      • その後の影響:このアクションは将来の検出に影響しません。脅威が完全に削除されていない場合、システムは新しいアラートを生成することがあります。

    • リスクに関する通知:

      • [Manually Handled] は、セキュリティイベントをクローズするために使用されるアラートステータス管理アクションです。

      • この操作を実行する前に、必要なすべての修復および強化策を完了したことを確認してください。そうしないと、脅威が再発する可能性があります。

    隔離されたファイルの管理

    Deep Cleanup (ディープクリーンアップ) によって隔離されたファイルは、最大 30 日間、分析のために復元またはダウンロードできます。この期間が過ぎると、システムは自動的にこれらのファイルを削除します。

    1. [Virus Detection and Removal] ページで、右上隅にある [Quarantined Files] をクリックします。

    2. 対象のファイルを見つけ、[Actions] 列の [Restore] または [Download] をクリックします。

      • Restore: ファイルを元のパスに復元します。ファイルが誤って隔離されたと確信できる場合にのみ、この操作を実行してください。

      • Download: 詳細な分析のために、ファイルをローカルマシンにダウンロードします。

    本番環境に適用

    アラート通知の有効化

    [System Settings] > [Notification Settings] ページでアラート通知を設定し、高リスクの脅威が発見されたときに、システムが担当者にメール、SMS、または DingTalk ですぐに通知するように設定します。 詳細については、「通知設定」をご参照ください。

    image.png

    パフォーマンスの最適化とインシデント対応

    • パフォーマンスの最適化

      • 低スペックのサーバー (例: 1 コア CPU、1 GB メモリ) では、オフピーク時に [Quick Scan] を実行し、[Memory Check] を無効にすることを推奨します。

      • 大規模なスキャンタスクの場合は、バッチで実行するか、[Scan Settings] で大きなログディレクトリやバックアップディレクトリを除外して、スキャン時間を短縮することを推奨します。

    • インシデント対応プロセス

      1. 隔離:高リスクの脅威を発見したら、セキュリティグループを使用するか、ネットワークから切断して、感染したサーバーを直ちに隔離します。

      2. フォレンジック:サーバーのスナップショットを作成し、重要なログをバックアップします。

      3. 駆除:ディープクリーンアップを使用し、すべての永続化メカニズムが完全に削除されているかを手動で確認します。

      4. 強化:脆弱性にパッチを適用し、脆弱なパスワードを変更し、セキュリティグループのアクセスポリシーを強化します。

      5. 監視:サーバーの状態を継続的に監視し、脅威が再発していないことを確認します。

    セキュリティ強化の推奨事項

    将来のウイルス攻撃を防ぐために、サーバーを強化してください。これにより、攻撃者が防御を突破するためのコストと難易度が高まります。

    • 悪意のあるホストの動作防止の有効化

      この機能は[Protection Configuration] > [Host Protection] > [Malicious Host Behavior Prevention] ページで有効にしてください。詳細な手順については、「悪意のあるホストの動作防止」をご参照ください。これにより、主流のウイルス (トロイの木馬、ランサムウェア、クリプトジャッキング、DDoS トロイの木馬など) の悪意のある動作をプロアクティブにブロックし、アクティブな防御機能を提供します。

    • サーバーのセキュリティ強化

      • Security Center エディションのアップグレード

        Enterprise および Ultimate エディションは、より広範なセキュリティチェックと正確な防御機能に加え、ウイルスの自動隔離 (自動ウイルス駆除) もサポートしています。

      • アクセス制御の強化

        必要なビジネスポート (例: 80、443) のみを開き、管理ポート (例: 22、3389) およびデータベースポート (例: 3306) に厳格な IP ホワイトリストポリシーを設定してください。

        説明

        Alibaba Cloud Elastic Compute Service (ECS) サーバーを使用している場合、「セキュリティグループの管理」の手順をご参照ください。

      • 複雑なサーバーパスワードの設定

        サーバーとアプリケーションには、大文字と小文字、数字、特殊記号を含む複雑なパスワードを使用してください。

      • ソフトウェアのアップグレード

        アプリケーションソフトウェアを最新の公式バージョンに更新してください。メンテナンスされなくなった、または既知のセキュリティ脆弱性がある古いバージョンは使用しないでください。

      • 定期的なバックアップの実行

        重要なデータとサーバーのシステムディスクに対して、定期的なスナップショットポリシーを作成してください。

        説明

        Alibaba Cloud ECS サーバーを使用している場合は、「自動スナップショットポリシーの作成」の手順をご参照ください。

      • 脆弱性の迅速な修正

        Security Center の脆弱性修正機能を定期的に使用して、高リスクのシステムおよびアプリケーションの脆弱性にタイムリーにパッチを適用してください。

      • サーバーシステムの再設定 (注意して使用)

        ウイルスがシステムに深く侵入した場合は、オペレーティングシステムをリセットする前に重要なデータをバックアップすることを強く推奨します。手順は次のとおりです。

        1. スナップショットを作成して、サーバー上の重要なデータをバックアップします。手順については、「手動でのスナップショットの作成」をご参照ください。

        2. サーバーのオペレーティングシステムを再初期化します。詳細については、「システムディスクの再初期化 (オペレーティングシステムのリセット)」をご参照ください。

        3. スナップショットからクラウドディスクを作成します。詳細については、「スナップショットからのデータディスクの作成」をご参照ください。

        4. システムの再インストールした後、クラウドディスクをサーバーにマウントします。詳細については、「データディスクのアタッチ」をご参照ください。

    制限事項

    • フルディスクスキャンは非対応: サーバーリソースへの影響を軽減するため、スキャンはシステムの高リスク領域に限定されます。

    • ファイル数の制限: [Custom Directory Scan] モードでは、1 つのタスクでスキャンできるファイルは最大 30,000 件です。この制限を超えると、タイムアウトが発生したり、一部のファイルがスキャンされなかったりする可能性があります。

    • スキャン時間の制限: 1 つのタスクのデフォルトのタイムアウトは 2 時間です。この制限時間を超えたファイルはスキップされます。

    • ファイルサイズの制限: 1 ファイルの最大サイズは 10 MB です。

    チュートリアル

    よくある質問

    ホワイトリストと無視に関する質問

    • ホワイトリストからアイテムを削除するにはどうすればよいですか?

      ウイルス検出と駆除モジュールは、ホワイトリストからのアイテム削除をサポートしていません。[Detection and Response] > [Alert] に移動します。処理済みアラートのリストで、ホワイトリストから項目を削除できます。詳細については、「アラートをホワイトリストから削除する」をご参照ください。

      説明

      Cloud Threat Detection and Response (CTDR) を購入している場合は、左側のナビゲーションペインで [Cloud Threat Detection and Response]> [Alert] に移動します

    • ホワイトリストへの追加と無視の違いは何ですか?

      相違点

      ホワイトリスト

      無視

      利用シーン

      恒久的な例外の場合。

      一時的または散発的な誤検出や既知の問題の場合。

      影響範囲

      将来の同一アラートは報告されません。

      現在のアラートにのみ影響し、将来のアラートには影響しません。

    ウイルス検出とアラート処理に関する質問

    • ウイルス検出・駆除とセキュリティアラートの違いは何ですか?

      • ウイルス検出と駆除:サーバー上の悪意のあるファイルの検出と処理に特化した機能モジュールであり、ディープスキャンと専門的な処理機能を提供します。

      • アラート:ウイルス、異常ログイン、ネットワーク攻撃、脆弱性など、すべてのセキュリティイベントを統合する統一されたアラートセンターです。

      重要

      • 1 つのタスクでスキャンできるファイルは最大 30,000 個です。この制限を超えると、タイムアウトが発生したり、一部のファイルがスキャンされなくなったりする可能性があります。

      • 1 ファイルの最大サイズは 10 MB です。

    • 処理後にウイルスが再発するのはなぜですか?

      ウイルスが再発する理由はいくつか考えられます。

      • 根本原因が未解決。サーバーに脆弱なパスワードや未適用の高リスク脆弱性が存在し、攻撃者が再侵入できる状態になっている。

      • 不完全なクリーンアップ。最初の処理で、隠されたバックドアや永続化項目がすべて削除されなかった。

      • 汚染されたデータソース。ウイルスを含むバックアップやイメージからデータが復元された。

      解決策

      • セキュリティ強化の推奨事項」に従ってセキュリティを強化してください。

      • ウイルスを処理した後、サーバーとそのアプリケーションを再起動して、メモリに残っている可能性のある悪意のあるプロセスを終了させることを推奨します。

        警告

        • サーバーを再起動すると、一時的なサービス中断が発生します。この間、サーバーに依存するウェブサイト、アプリケーション、その他のサービスにアクセスできなくなり、ユーザーエクスペリエンスやビジネスプロセスの継続性に影響を与える可能性があります。この操作はオフピーク時に実行してください。

        • サーバーにデプロイされている一部のアプリケーションは、自動起動が設定されていない、または特定の環境変数に依存しているため、手動での再起動が必要になる場合があります。これにより、サービスが利用できなくなる可能性があります。特定のバージョンのメッセージキューなど、再起動計画を事前に評価してください。

    • 複数のアラートを処理 (一括処理) するにはどうすればよいですか?

      • [Protection Configuration] > [Host Protection] > [Virus Detection and Removal] モジュールによって生成されたウイルスアラートは、一括処理をサポートしています。

        1. ウイルス検出と駆除のリストページで、左側のチェックボックスをオンにして処理するアラートを選択します。

        2. 左下の [Batch Handle] ボタンをクリックし、適切な応答方法を選択します。

      • [Detection and Response] > [Alert]モジュールは、一括ホワイトリスト登録と一括無視をサポートしています。

        1. セキュリティアラートのリストに移動し、左側のチェックボックスをオンにして処理したいアラートを選択します。

        2. 左下の [Ignore Once] または [ Add to Whitelist] ボタンをクリックします。

    • アラートに「file does not exist」と表示された場合はどうすればよいですか?

      これは、ウイルスが別の方法で削除されたか、自己の痕跡を消去したために発生する可能性があります。アラートリストで [Ignore] または [Manually Handled] をクリックして、このアラートをクリアできます。

    スキャンとタスク実行に関する質問

    • スキャンタスクが失敗またはタイムアウトした場合はどうすればよいですか?

      • タスクのタイムアウト: これは通常、カスタムスキャンディレクトリが大きすぎることが原因です。これを解決するには、以下の解決策をお試しください。

        • 大規模なスキャンをいくつかの小さな Custom Directory Scan タスクに分割してみてください。特に /tmp/var/tmp/root などの高リスクディレクトリに注意してください。

        • スキャン設定で大きなログディレクトリやデータディレクトリを除外します。

        • オフピーク時にスキャンを実行します。

      • タスクの失敗:

        1. エージェントのステータスの確認:サーバー上の Security Center エージェントプロセス (AliYunDun) が実行中でオンラインであることを確認します。

        2. ネットワーク接続の確認:サーバーが Security Center サービスのエンドポイントにアクセスできるかどうかをテストします。

        3. システムリソースの確認:/tmp などのディレクトリに十分なディスク容量 (少なくとも 1 GB を推奨) があり、CPU とメモリリソースが枯渇していないことを確認します。

        4. エージェントログの表示:Linux でのログパスは /usr/local/aegis/aegis_client/aegis_10_*/log/aegis.log です。

    • ウイルスの駆除に失敗した場合はどうすればよいですか?

      ページを更新して再試行してください。それでも失敗する場合は、「Manually Handled」をクリックしてから、ファイルを手動で削除してみてください。ファイルが削除できない (Operation not permitted) 場合は、不変の i 属性が設定されている可能性があります。chattr -i <file> コマンドでロックを解除してから削除できます。

    システム互換性とツール設定に関する質問

    • ウイルスデータベースのバージョンはどこで確認できますか?

      概要ページでウイルスデータベースの更新時間を確認できます。クラウドベースのウイルスデータベースはリアルタイムで自動的に更新されるため、手動での操作は不要です。

      image

    • サードパーティのウイルス対策ソフトウェアをインストールできますか?

      はい、インストールできますが、互換性の問題が発生する可能性があります。サードパーティソフトウェアのホワイトリストに Security Center エージェントのコアプロセスとディレクトリを追加して、誤ってブロックされるのを防ぐことを強く推奨します。詳細については、「Security Center エージェントのプロセス」をご参照ください。