この記事では、RanSimツールに関するよくある質問(FAQ)を紹介します。
RanSimの一般情報については、「RanSim製品マニュアル」を参照してください。
一般情報
1.RanSimは実際のランサムウェア攻撃の振る舞いをシミュレートしますか?同じような振る舞いをする実際のランサムウェアの例としては、どのようなものがありますか?
3.[KnowBe4 RanSim]の結果ウィンドウで、[実行済み]というラベルは何を意味しますか?このラベルは、[脆弱]や[脆弱ではない]のラベルと何が違うのですか?
4.RanSimでは自分で作成したファイルをテストできますか?例えば、自分で作成した文書や写真をテストできますか?
5.RanSimを使用するときに、ネットワーク接続は作成されますか?作成される場合、これらのネットワーク接続はどのような目的に使用されますか?
1.RanSimは実際のランサムウェア攻撃の振る舞いをシミュレートしますか?同じような振る舞いをする実際のランサムウェアの例としては、どのようなものがありますか?
RanSimは実際のランサムウェアの振る舞いをシミュレートしますが、細かい違いがあります。例えば、RanSimで使用している暗号化キーやアルゴリズムは、本物のランサムウェアで使用されている暗号化キーやアルゴリズムとは異なります。
RanSimのランサムウェアシナリオと誤検出シナリオの詳細については、「RanSim製品マニュアル」を参照してください。
2.RanSimは私のコンピュータの情報を収集しますか?
RanSimが収集する情報は、実際のランサムウェア攻撃に対して脆弱な拡張子があるローカルディスク上のファイル数のみです。
3.[KnowBe4 RanSim]の結果ウィンドウで、[実行済み]というラベルは何を意味しますか?このラベルは、[脆弱]や[脆弱ではない]のラベルと何が違うのですか?
[実行済み]ラベルは、エンドポイント保護ソフトウェアによってブロックされなかった誤検出シナリオを示します。エンドポイント保護ソフトウェアが正常に動作している場合、誤検出シナリオの両方の横に[実行済み]ラベルが表示されます。
[脆弱]と[脆弱ではない]のラベルは、誤検出シナリオではなく、ランサムウェアシナリオの結果を示しています。RanSimテストで不合格になり、実際のランサムウェア攻撃に対して脆弱である可能性があるランサムウェアシナリオの横に[脆弱]ラベルが表示されます。RanSimテストで合格し、実際のランサムウェア攻撃に対して安全であることが確認されたランサムウェアシナリオの横には、[脆弱ではない]ラベルが表示されます。
4.RanSimでは自分で作成したファイルをテストできますか?例えば、自分で作成した文書や写真をテストできますか?
はい、初回のRanSimのスキャンの後に、ご自分のファイルをテストできます。
ご自分のファイルをテストする場合は、以下の手順で行ってください。
-
[KnowBe4 RanSim]ウィンドウの右上隅にある、[オプションで、ここをクリックして独自のテストファイルをテストファイルフォルダにコピーします。]セクションにある[ここをクリック]リンクをクリックします。
- プロンプトが表示されたら、%systemdrive%\KB4\Newsim|DataDir\TestFilesフォルダにコピーするファイルを選択します。
ファイルをコピーしてテストフォルダに追加すると、これらのファイルに対してRanSimスキャンを追加で実行できます。
5.RanSimを使用するときに、ネットワーク接続は作成されますか?作成される場合、これらのネットワーク接続はどのような目的に使用されますか?
RanSimランサムウェアのシナリオの1では、暗号化キーを含むメッセージを送信するために、アドレス127.0.0.1のポート23054へのHTTP接続を開きます。
ウイルス対策ソフト
3.使用しているウイルス対策ソフトがRanSimのインストールファイルを悪意があるファイルと判断した場合、どうなりますか?
4.Windowsセキュリティがransim.zipファイルを悪意のあるファイルと判断しているため、ファイルを開くことができません。どうしたら良いでしょうか?
1.使用しているウイルス対策ソフトが、SimulatorSetup.exe、MainRunner.exe、Collector.exe、またはSimulatorSetup.exeのいずれかを悪意のある実行ファイルと判断しました。どうしたら良いでしょうか?
これらのファイルには危険なコードは含まれていませんので、実行を許可してください。これはウイルス対策ソフトの誤検出と考えることができますが、誤検出という結果は表示されません。これらのファイルの詳細については、以下のリストを参照してください。
- SimulatorSetup.exe:RanSimをインストールします。
- Ranstart.exe:RanSimのインターフェースです。
- MainRunner.exe:テスト環境を準備し、RanSimシナリオを起動します。
- Collector.exe:各シミュレーションの結果を収集します。
悪意のあるファイルと判断された場合、一部のウイルス対策ソフトでは警告が表示されることがあります。警告が表示された場合、ファイルの実行を許可するか、隔離するか、ブロックするかを選択できます。一部のウイルス対策ソフトでは、自動的にブロックされ隔離される場合があります。詳細情報については、以下に表示している各メールサーバーの設定方法を参照してください。
- 初回のRanSimスキャンの前にMainRunner.exeファイルまたはCollector.exeファイルが隔離されると、RanSimはスキャン開始時にこれらのファイルを再作成しようとします。再び隔離される場合、少なくとも1つのファイルが見つからないことが通知され、ユーザーのコンピュータで実行を許可するようにアドバイスされます。
- RanSimのスキャン時にMainRunner.exeファイルまたはCollector.exeファイルが隔離されると、スキャンはキャンセルされます。RanSimはこれらのファイルを再作成を試行し、再スキャンするようにアドバイスします。これらのファイルが再度ブロックされるときには、RanSimはファイルの再作成を試行しません。代わりに、ファイルの実行が許可されていることを確認してから、RanSimを再起動して再スキャンするよう求められます。
2. 使用しているウイルス対策ソフトは、MainRunner.exeファイルやSimulatorSetup.exeを悪意があるファイルと判断しませんでした。しかし、RanSimのスキャン中に、ウイルス対策ソフトがいずれかのテストファイルが悪意があると判断しました。どうしたら良いでしょうか?
これは想定される振る舞いです。ウイルス対策ソフトがテストファイルを危険または悪意があると判断した場合、ウイルス対策ソフトは正しく動作しています。RanSimのスキャン中にウイルス対策ソフトウェアがテストファイルをブロックまたは隔離している場合、実際のランサムウェア攻撃があった場合にウイルス対策ソフトウェアが攻撃をブロックまたは隔離できる可能性があります。
3.使用しているウイルス対策ソフトがRanSimのインストールファイルを悪意があるファイルと判断した場合、どうなりますか?
KnowBe4がテストした多くのウイルス対策ソフトでは、RanSimのインストールファイルを悪意があるファイルと判断しませんが、お使いのウイルス対策ソフトがそのように判断する場合は、該当するファイルをウイルス対策ソフトのホワイトリストに追加してください。その後で、RanSimを再インストールしてください。
4.Windowsセキュリティがransim.zipファイルを悪意のあるファイルと判断しているため、ファイルを開くことができません。どうしたら良いでしょうか?
このファイルを開くには、Windowsセキュリティの設定に除外を追加します。詳細については、Microsoftの 「Windows セキュリティに除外を追加する」の記事を参照してください。
RanSimファイル
1.RanSimをインストールすると、RanSimのファイルはどこに保存されますか?
2.\KB4\Newsimインストールフォルダにはどのようなサブフォルダがありますか?
3.RanSimのシナリオに使用されるファイルの拡張子は何ですか?
4.どのようなレジストリキーが作成され、レジストリのどこに配置されますか?RanSimをアンインストールすると、これらのレジストリキーは削除されますか?
5.RanSimを使用するときに、ログファイルは生成されますか?その場合、Windowsイベントログに何らかのエントリが追加されますか?
1.RanSimをインストールすると、RanSimのファイルはどこに保存されますか?
全てのファイルは、インストールフォルダであるc:\KB4\Newsimまたは%systemdrive%\KB4\Newsimに保存されます。
RanSimをアンインストールすると、インストールフォルダはコンピュータから削除されます。
2.\KB4\Newsimインストールフォルダにはどのようなサブフォルダがありますか?
\KB4\Newsimインストールフォルにあるサブフォルダについては、次の表を参照してください。
| サブフォルダ名 | サブフォルダの説明 |
|---|---|
| \Newsim\DataDir | このサブフォルダは、RanSimによって作成されるシミュレーション環境を示します。 |
| \Newsim\DataDir\TestFiles | このサブフォルダには、RanSimシミュレーションのためのテストファイルが含まれます。 |
| \Newsim\DataDir\MainTests\xx |
RanSimの各シナリオでは、関連するテストファイルが入ったサブフォルダが使用されます。各シナリオのサブフォルダには、番号が付けられています。 RanSimのシナリオの詳細については、「RanSim製品マニュアル」を参照してください。 |
| \Rassim\DataDir\Tests\xx-Tests |
各RanSimシナリオ用のサブフォルダが存在し、これらのフォルダにはシナリオの\Newsim\DataDir\MainTests\xxテストファイルのコピーが保存されます。 RanSimのシナリオの詳細については、「RanSim製品マニュアル」を参照してください。 |
3.RanSimのシナリオに使用されるファイルの拡張子は何ですか?
RanSimのシナリオで使用されるファイルの拡張子は、.cxpです。
4.どのようなレジストリキーが作成され、レジストリのどこに配置されますか?RanSimをアンインストールすると、これらのレジストリキーは削除されますか?
msinstallerによって管理されるすべてのエントリに加えて、RanSimはHKEY_CURRENT_USER\SOFTWARE\KnowBe4 Ran Simulatorレジストリキーを作成します。RanSimをアンインストールすると、このレジストリキーは削除されます。
5.RanSimを使用するときに、ログファイルは生成されますか?その場合、Windowsイベントログに何らかのエントリが追加されますか?
RanSimのログディレクトリには、内部情報を含むいくつかのCSVファイルが保存されます。RanSimは、Windowsイベントログにもエントリを追加します。