CyberCapture の内部構造と設定 – Avast Settings Encyclopedia

本日は、Avast バージョン12.1.2272 にて導入された目玉機能の一つ、CyberCapture について、その動作面の特徴と設定方法について解説します。

1 CyberCapture を構成する機能
- 1.1 1. DeepScreen
- 1.2 2. Custody
2 CyberCapture に関連する設定
- 2.1 有効/無効、動作の設定
  - - - 2.1.0.0.1 □CyberCapture を有効化
      - 2.1.0.0.2 スキャンからの除外 – CyberCapture
3 歴史と背景のお話

CyberCapture を構成する機能

CyberCapture とは、簡単に言えば「自動的に怪しいファイルを隔離して、マルウェアかどうかを確認してから実行する機能」です。
CyberCapture は1つの機能として実装されていますが、実は内部的には2つの別な機能から構成されています。

1. DeepScreen

CyberCapture を構成する一つ目の機能が、DeepScreen です。

DeepScreen は下記のいずれかに該当するファイルが実行された場合、ファイルの実行に割り込んでファイルをサンドボックスで15秒間実行し、安全と判断した場合にのみ実行を再開させます。

Avast のデータベース上に存在しないような新規のファイルである場合
インターネットからダウンロードされたファイルの場合
USB メモリ上、あるいはネットワーク上から実行されたファイルである場合
ファイル名に不審な点がある（二重拡張子：（例）.pdf.exe ）場合
その他、ファイルの静的解析で不審な点が見つかった場合

DeepScreen によってサンドボックス化されたプログラムには、下記の通り「Avast CyberCapture」と書かれたタグと青い枠線が表示されます。

また、DeepScreen による分析中は、下記のポップアップが表示されます。

この分析は15秒かそれ以下で終了し、問題がないと判断されると、次のCustody に移行します。

2. Custody

Custody はCyberCapture の根幹ともいえる機能で、特定の条件に合致する実行ファイルの起動をブロックし、Avast の研究所にある自動解析システムに送信する機能です。

現在のところ、対象となるのは、下記2条件を満たしたファイルの場合だけのようです。

インターネットからダウンロードしたファイル
Avast のデータベース上に存在しないような新規のファイル

従って、DeepScreen の対象となったファイル全てが、Custody の対象となるわけではありません。
対象とならなかったファイルは、そのまま実行されます。

Custody が発動すると、以下のようなポップアップが表示され、解析結果が返ってくるまで、プログラムを実行することはできません。

解析結果が「問題なし」であれば、下記のポップアップが表示され、そのアプリは「設定」ウィンドウの「一般」メニュー配下にある「スキャンからの除外」 ⇒「CyberCapture」に登録されます。

一方で、解析結果が「問題あり」であった場合、以下のポップアップが表示され、ファイルはウイルスチェストに移動されます。

CyberCapture に関連する設定

CyberCapture に関する設定は、「設定」ウィンドウの「一般」メニュー配下にまとまっています。

有効/無効、動作の設定

□CyberCapture を有効化

この設定をオンにすると、CyberCapture (DeepScreen / Custody 両方)が有効になります。
「常にブロック」を選択すると、Custody 発動時には、対象となった実行ファイルは解析結果が返ってくるまで実行できなくなります。
「私が判断します」を選択すると、Custody 発動時にも、対象となった実行ファイルをそのまま実行できるようになります。

スキャンからの除外 – CyberCapture

ここに入力されたファイルに対しては、CyberCapture が発動しなくなります。
プログラミング環境をお使いの方で、コンパイルしたプログラムが毎回引っかかって困っている場合には、こちらにコンパイルされた実行ファイルの出力パスを指定しておくことで、CyberCapture が発動しないよう抑止することができます。

歴史と背景のお話

（長いので、興味がない方は読み飛ばしてください）

実はCyberCapture という名前は、2つある機能のうちCustody に対して付けられているといっても過言ではありません。
なぜなら、前項のDeepScreen は、元をたどればavast! 6.0.1000 にて導入された自動サンドボックスに行き着く、以前からある機能の発展版だからです。

CyberCapture の根幹と言えるCustody 機能も、実は一時期エンドユーザー向けにも展開されていた「Avast NG」（あるいは「Secure Virtual Machine」）と呼ばれる機能に基づいています。
Avast NG は、仮想化ソフトで有名なVirtualBox の技術を利用し、アプリ起動時のサンドボックス化を仮想マシンで行うという、大胆な設計のシステムでした。
ただ、複雑なシステム故の不具合が多かったことから、結局Avast はNG のエンドユーザーへの展開を諦めざるを得ませんでした。
Avast の開発陣は、のちに

非常に有用な技術であり、かつ成果も出していたが、管理下にある我々の環境で動作させるのと、世の中の数多のWindows PC で動作させるのは別の話だった

と回想しています。

しかし、Avast NG はAvast 社内の自動解析システムとして生き残りました。Custody によって送信されたサンプルの自動解析システムには、このAvast NG に由来する技術が使われています。

CyberCapture について興味を持たれた方は、技術的解説について、公式のブログも併せてお読みください。

CyberCapture を支えている技術に関する詳細な解説