Avast は多機能性とカスタマイズ性の高さが売りの一つですが、それゆえに、何かを除外しようとしても、「除外したのに除外されない!」ということがあるかもしれません。それはおそらく、正しい場所に除外を追加できていないためなのです。
本記事では、何かをAvast のスキャンから除外したいときに、どこに何を設定すべきかを、「ポップアップが出ている場合」を例に解説します。
この記事は、Avast バージョン18以前向けの古い内容になります。最新のAvast に対応した「除外・例外設定のありか(2020年版) その1(ポップアップ編)」を投稿しておりますので、こちらもご覧ください。
まず初めに分かっておいて頂きたいことが1つ。「グローバルな除外を信用しない!」です。
先に述べたとおり、Avast は各所に除外設定が散らばっています。これをまとめるために作られたのが「グローバルな除外」ですが、当初は良かったものの、機能追加が進むにつれて適用外の部分が増えてしまいました。
ですので、面倒でも、除外は各設定ごとに追加することをお勧めします。
どこに追加すべきかを判断するには?
各設定ごとに除外を追加する際に問題になるのが、「どの機能で検知されているのか?」です。どの機能で検知されているのかが分かれば、どこの設定に追加すべきかが分かります。
ポップアップが出ている場合
何らかの機能に引っ掛かり、ポップアップメッセージが出ているときには、そのメッセージの内容によって、追加すべき場所を判断できます。
1 「脅威を安全に処理しました」と表示される場合
上記のようなメッセージが表示されている場合、起因は、
- ファイルシステムシールド(ファイルシールド)
- メールシールド
- ウェブシールド
- 挙動監視シールド
のいずれかとなります。この場合、右下の「詳細を表示」をクリックすることで、下記の通り、どのシールドで検知されたのかを確認することができます。
除外設定を持たないメールシールドを除き、各シールドの除外設定は、すべて
「設定」ウィンドウ の 「コンポーネント」メニュー
配下にあります。いずれも、「カスタマイズ」ボタンを押して表示される画面にある「スキャンからの除外」が除外設定になります。
1-a ファイルシステムシールドの除外設定
ファイルシステムシールドの除外設定は、パス単位で行います。
下の「追加」ボタンを押せば、除外項目の行数が増え、「削除」を押すことで項目を削除できます。
「参照」ボタンを押すとフォルダの選択画面が表示され、特定のフォルダを除外することができます。この画面ではファイル単位の除外はできないため、特定のファイルだけを除外したい場合は、手動で当該ファイルのフルパスを記入する必要があります(ワイルドカードも使えます)。
画面内のヘルプに記載がある通り、「読」「書」「実行」は、それぞれ「ファイルの読み込み時」「ファイルの書き込み時」「実行可能ファイルの実行時」のスキャンから除外するかどうかを選択します。
1-b 挙動監視シールドの除外設定
ファイルシステムシールドと同様、挙動監視シールドの除外設定もパス単位となります。
特定のファイルのみを除外したい場合に、手動で当該ファイルのフルパスを記入しなければならないのも同じです。
1-c ウェブシールドの除外設定
ウェブシールドの除外は少し注意が必要です。それは、ウェブシールドだけは、除外が2種類(「スキャンからの除外」と「スクリプトの除外」)存在するからです。そのため、追加する際には、正しい方を選ぶ必要があります。
ただ、2つ目の「スクリプトの除外」を使うことはまれなので、通常は他のシールドと同じく、1つ目の「スキャンからの除外」を使います。
1つ目の「スキャンからの除外」には、3つのオプション
- 除外するURL
- 除外するMIMEタイプ
- 除外するプロセス
があります。通常使うのは、1の「除外するURL」です。下記例の通り、除外したいURLを記入します。
2の「除外するMIMEタイプ」は、ウェブサーバから送信されるMIMEタイプを見て除外するかどうかを判断するものですが、使うことはまずないでしょう。
3の「除外するプロセス」は、あるプロセスからの通信を全て、ウェブシールドのスキャン対象から除外するものです。
デフォルト設定では、ウェブシールドはすべてのプロセスのHTTP通信をスキャンしていますが、スキャンされたくないプロセスがある場合、ここに追加することになります。
2つ目の「スクリプトの除外」には、「除外するURL」の設定のみがあります。
この設定は、URLと言いつつ、通常のファイルパス(C:\Windows\ とか)を指定できます。この辺の背景は本稿では割愛しますが、万一必要になった時のために、そういう設定ができるということは頭の片隅に置いておいてください。
2 「お待ちください、このファイルには悪いものが含まれているかも知れません。」と表示される場合
このポップアップは、CyberCapture の一機能DeepScreen が発動したことを意味します(参考:CyberCapture の内部構造と設定)。
通常は15秒以内にポップアップは消え、以後スキャンされることはありません。
頻繁にポップアップが出てしまうという場合は、
- 毎回違うバイナリが実行されている(プログラムの開発等)
- バージョンをパスに含む等のため、異なるパスからファイルが実行されている(一部のゲーム、アプリ等)
が推定されます。その場合は、
「設定」ウィンドウ⇒「一般」メニュー⇒「スキャンからの除外」カテゴリ⇒「CyberCapture」
にパスを指定することで、当該ファイルを除外することができます。
ワイルドカードを使えば、例えば下図のように、開発環境で出力されるデバッグ用ファイル全てを除外するようにも設定できます。
3 「CyberCapture が有効になりました」「非常に珍しいファイルを検出しました」と表示される場合
このポップアップは、CyberCapture の一機能Custody が発動したことを意味します。
デフォルト設定の場合、このポップアップが出ると、Avast のウイルス研究所から結果が返ってくるまで、当該ファイルを実行することはできません。
除外設定の場所は上記2(DeepScreen)と同じですが、これは次回以降から有効になるものなので、すでに引っかかってしまったファイルに対しては効果がありません。
CyberCapture (Custody) に引っ掛かるようなファイルは、マイナーなアプリでない限りは通常はマルウェアの可能性が高いので、即座に実行することはお勧めしません。ただ、ブロック状態のファイルをどうしても即座に実行したい場合は、
「設定」ウィンドウ⇒「一般」メニュー⇒「CyberCapture を有効化」をオフ⇒OK で閉じる
によりCyberCapture を停止することで、ブロックを解除することができます。
作業後に、CyberCapture を再度有効にするのを忘れずに。
4 「ファイルを保護しました」と表示される場合
このポップアップは、ランサムウェアシールドにより、特定のディレクトリ配下にあるファイルへの改変(変更または削除)がブロックされた場合に表示されます。
「アプリをブロック」を押すことで、当該アプリをブロックリストに追加でき、以降そのアプリはランサムウェアシールドにより保護されたファイルを改変(変更または削除)することができなくなります。
逆に「アプリを許可」を押すことで、アプリをホワイトリストに追加でき、以降そのアプリが保護されたファイルにアクセスしても、ランサムウェアシールドがそれをブロックすることはありません。
誤ってブロック又は許可してしまった場合には、以下の画面から設定を解除することができます。また、ポップアップが出る前に、任意のアプリをブロックリスト・ホワイトリストに追加することもできます。
ランサムウェアシールドの画面から「ブロック/許可するアプリ」をクリックすると、下記画面が表示され、アプリのブロックや許可が可能です。
5 「アプリがウェブカメラを使おうとしています」と表示される場合
このポップアップは、ウェブカメラ シールドにより、特定にアプリによるウェブカメラへのアクセスがブロックされた場合に表示されます。
設定方法は上記ランサムウェアシールドと同じです。違いは、ランサムウェアシールドは任意のアプリを任意のタイミングで「許可するアプリ」「ブロックするアプリ」に追加できたのに対し、ウェブカメラ シールドではできない、ということです。
ウェブカメラシールドの右上の歯車をクリックすると、下の図のように、アプリを許可/ブロックする画面が表示されます。
今回紹介したのは、代表的なシールドによって発生するポップアップとなります。
Avast が表示するポップアップには、このほかにも
- ファイアウォールによるもの
- ブラウザ拡張機能によるもの
- 右クリックスキャンによるもの
などがありますが、当記事では割愛しています。
次回は、ポップアップが出ていないがトラブルが起きていて、Avast が原因かどうかを確かめたい場合の方法「除外設定のありか その2(症状編)」を予定しています。
上に述べたポップアップの機能の一部もカバーする予定ですので、お楽しみに。
公開日:2017/12/09, 最終更新:2019/12/31