Kaspersky Security Network に関する声明(Endpoint Security 11 for Windows)
対象製品:
- Kaspersky Endpoint Security 11.6.0 for Windows (バージョン 11.6.0.394)
- Kaspersky Endpoint Security 11.5.0 for Windows (バージョン 11.5.0.590)
- Kaspersky Endpoint Security 11.4.0 for Windows (バージョン 11.4.0.233)
- Kaspersky Endpoint Security 11.3.0 for Windows (バージョン 11.3.0.773)
- Kaspersky Endpoint Security 11.2.0 for Windows (バージョン 11.2.0.2254) Critical Fix 1
- Kaspersky Endpoint Security 11.2.0 for Windows (バージョン 11.2.0.2254)
- Kaspersky Endpoint Security 11.1.1 for Windows (バージョン 11.1.1.126)
- Kaspersky Endpoint Security 11.1.0 for Windows (バージョン 11.1.0.15919)
上記に掲載されていないバージョンに関する情報については、オンラインヘルプ をご参照ください。
Kaspersky Endpoint Security 11 for Windows におけるKASPERSKY SECURITY NETWORK に関する声明
Kaspersky Security Network に関する声明(以下「KSN 声明」といいます)は、コンピューターソフトウェア Kaspersky Endpoint Security (以下「ソフトウェア」といいます)に適用されます。
「データ処理に関する条件」の項をはじめに本ソフトウェアの使用許諾契約および KSN 声明では、KSN 声明で示されるデータの転送および処理に関する条件、責任および手続きについて説明します。同意する前に、KSN 声明の条項および KSN 声明内で参照される文書を注意深くお読みください。
お客様が Kaspersky Security Network (以下「KSN」といいます)の使用を有効にする際は、(前述の使用許諾契約書に定義されている)データ主体の個人データの処理が、とくに、一般データ保護規則(EU)(General Data Protection Regulation、GDPR)(規則 2016/679)の第 6 条の1 の (a) から (f) の規定(データ主体が欧州連合内に存在する場合)、または、機密情報、個人情報およびデータ保護に関する法律を含む、適用される法律に従っていることに義務を負うものとします。
データの保護および処理
KSN の使用中に AO Kaspersky Lab(以下「カスペルスキー」といいます)がお客様から受け取るデータは、カスペルスキーのプライバシーポリシー(kaspersky.co.jp/Products-and-Services-Privacy-Policy)に従って扱われます。
KSN を使用する目的
KSN の使用は、情報やネットワーク上のセキュリティの脅威に対して本ソフトウェアの対応を早めることに役立ちます。
前述の目的は次の項目で実現します:
- スキャン対象のオブジェクトの評価の決定
- 検知の回避策が複雑化した情報セキュリティ上の未知の脅威やその発生源の識別
- すみやかに適切な手段を講じることでの、お客様のコンピューター上で保存および処理するデータの保護レベルの向上
- 誤検知の可能性の減少
- 本ソフトウェアの機能の効率の向上
- 情報セキュリティ事故の防止および過去に起きた事案の調査
- カスペルスキー製品のパフォーマンス向上
- 既知のオブジェクトの評価や検知件数についての参照情報の受信
処理されるデータ
KSN の使用中に、カスペルスキーは自動的に次のデータを収集および処理します:
- KSN設定の更新に関する情報:適用済み設定の識別子、取得済み設定の識別子、設定更新のエラーコード。
- スキャンされたファイルと URL アドレスに関する情報:スキャンされたファイルのチェックサム(MD5、SHA2-256、SHA1)およびファイルパターンのチェックサム(MD5)、パターンのサイズ、検知した脅威の種別およびカスペルスキーの分類による名前、定義データベースの識別子、評価が要求された URL アドレスおよびその URL を参照しているアクセス元ページの URL、接続プロトコルの識別子および接続先ポートの番号。
- 要求された Web リソースの分類結果に関する情報:スキャンされた URL およびホストの IP アドレス、分類を実行した本ソフトウェアの機能のバージョン、分類方法および Web リソースに該当するカテゴリ一式。
- 脅威を検知したスキャンタスクの識別子。
- 使用されるデジタル署名の信頼性を検証するための情報:スキャンされたオブジェクトの署名に使用された証明書およびその公開キーのチェックサム(SHA2-256)。
- コンピューターにインストールされているアプリケーションに関する情報:アプリケーションおよびその製造元の名前、アプリケーションに使用されるレジストリキーおよびその値、インストールされたアプリケーション機能ファイルに関する情報(チェックサム(MD5、SHA2-256、SHA1)、名前、コンピューター上のファイルのパス、サイズ、デジタル署名のバージョン)。
- アンチウイルスによるコンピューターの保護の状態:使用されている定義データベースのバージョンおよび公開日時、タスク識別子およびスキャンを実行している本ソフトウェア機能の識別子。
- ユーザーによってダウンロードされているファイルに関する情報:ダウンロード先の URL および IP アドレス、ダウンロードページを参照したページのURL、ダウンロードプロトコルの識別子および接続先ポート番号、URL の状態(悪意があるかどうか)、ファイルの属性、サイズおよびチェックサム(MD-5、SHA2-256、SHA1)、ファイルをダウンロードしたプロセスに関する情報(チェックサム(MD-5、SHA2-256、SHA1)、作成日時、結合日時、自動実行状態、属性、圧縮プログラムの名前、署名に関する情報、実行ファイルのフラグ、形式の識別子、プロセスを起動したアカウントの種別、プロセスのファイルに関する情報(ファイル名、ファイルのパスおよびサイズ))、ファイル名およびコンピューター上のパス、ファイルのデジタル署名とその適用に関する情報、検知した URL アドレス、ページ上で悪意があるまたは悪意がある可能性があると判明したスクリプトの番号。
- 実行中のアプリケーションおよびそれらのモジュールに関する情報:システム上で実行されているプロセスの情報(プロセスの識別子(PID)、プロセス名、プロセスを実行したアカウントに関する情報、信頼済みプログラムまたはプロセスを示すフラグ、プロセスのファイルの完全パスおよびそれらのチェックサム(MD5、SHA2-256、SHA1)、起動用コマンドライン、プロセスの整合性レベル、プロセスが属するアプリケーションの説明(アプリケーションの名前および製造元の情報)、使用されるデジタル署名の信頼性を検証するための情報、またはファイルのデジタル署名が存在しない場合は存在しないことを示す情報)、プロセスに読み込まれたモジュールの名前、サイズ、種別、作成日時、属性、チェックサム(MD5、SHA2-256、SHA1)、コンピューター上のパス、PE ファイルヘッダー情報、圧縮プログラムの名前(ファイルが圧縮されている場合)。
- 悪意のある可能性のあるすべてのオブジェクトおよび動作に関する情報:検知されたオブジェクトの名前およびオブジェクトのコンピューター上の完全パス、処理されているファイルのチェックサム(MD5、SHA2-256、SHA1)、検知日時、処理したファイルの名前およびサイズならびにファイルのパス、パステンプレートのコード、実行ファイルを示すフラグ、オブジェクトがコンテナーであるかどうかを示すフラグ、圧縮プログラムの名前(圧縮されている場合)、ファイル種別コード、ファイル形式の識別子、本ソフトウェアの判断の基準になった定義データベースおよび定義の識別子、悪意がある可能性があるオブジェクトを示すフラグ、Kaspersky Lab の分類による検知された脅威の名前、危険度、検知状況および検知方法、分析されたコンテキストにファイルを含めた理由およびコンテキスト上の順序番号、チェックサム(MD5、SHA2-256、SHA1)、感染したメッセージまたはリンクを転送したアプリケーションの実行ファイルの名前および属性、ブロックしたオブジェクトがあるホストの IP アドレス(IPv4 および IPv6)、ファイルの情報量、自動実行の設定状況、ファイルが最初にシステムで検知された日時、前回の統計の送信時以降にファイルが実行された回数、コンパイラの種別、悪意のあるオブジェクトの受信時に使用されたメールクライアントの名前、チェックサム(MD5、SHA2-256、SHA1)およびサイズに関する情報、スキャンを実行した本ソフトウェアのタスク識別子、評価またはファイル署名の確認状況を示すフラグ、オブジェクト内容に関する統計分析の結果、オブジェクトの定義とそのサイズ(バイト数)、適用された検知技術の技術的パラメータ。
- スキャンしたオブジェクトに関する情報:ファイルの移動先の信頼グループおよび移動元の信頼グループ、当該カテゴリに分類された理由、カテゴリの識別子、元のカテゴリおよびカテゴリデータベースのバージョンに関する情報、ファイルが信頼済み証明書を持っているかどうかのフラグ、ファイルの製造元、ファイルのバージョン、ファイルが含まれているアプリケーションの名前およびバージョン。
- 検知された脆弱性に関する情報:脆弱性データベース内の脆弱性の識別子、脆弱性の危険度。
- 実行ファイルのエミュレーションに関する情報:ファイルのサイズおよびそのチェックサム(MD5、SHA2-256、SHA1)、エミュレーション機能のバージョン、エミュレーション深度、エミュレーション中に取得された論理ブロックのプロパティの配列および理論ブロック内の関数の配列、実行ファイルの PE ヘッダーのデータ。
- ネットワーク攻撃に関する情報:攻撃元コンピューターの IP アドレス(IPv4 および IPv6)、コンピューターの攻撃先ポート番号、攻撃に使用された IP パケットのプロトコルの識別子、攻撃対象(組織名、Web サイト)、攻撃への対処のフラグ、攻撃の重み、信頼度。
- ネットワークリソースの偽装に関連した攻撃に関する情報:閲覧した Web サイトの DNS および IP アドレス(IPv4 および IPv6)。
- 要求した Web リソースの DNS および IP アドレス(IPv4 or Ipv6)、ファイルおよび Web リソースをアクセスした Web クライアントに関する情報、ファイルの名前、サイズおよびチェックサム(MD5, SHA2-256, SHA1)、完全パスとパステンプレートコード、デジタル署名の検証結果、KSN におけるファイルの検知状況。
- 悪意のあるソフトウェアの動作のロールバックに関する情報:動作を元に戻されるファイルに関するデータ(ファイル名、ファイルの完全パス、サイズおよびチェックサム(MD5、SHA2-256、SHA1))、ファイルの削除、名前変更、コピーおよびレジストリ値(レジストリキーの名前および値)の復元の成功または失敗のデータ、悪意のあるソフトウェアによって変更されたシステムファイルのロールバック前とロールバック後に関する情報。
- 適応型の異常監視機能の例外に関する情報:検知時に参照されたルールの識別子および状況、当該ルールに基づく検知が発生した際の本ソフトウェアの動作、怪しい動作を実行しているプロセスまたはスレッドを起動したアカウントの種別、怪しい動作を実行したプロセスに関する情報ならびに怪しい動作の対象となったプロセスに関する情報(スクリプトの識別子またはプロセスのファイル名、プロセスのファイルの完全パス、パステンプレートのコード、プロセスのファイルのチェックサム(MD5、SHA2-256、SHA1))、怪しい動作を実行したオブジェクトに関する情報ならびに怪しい動作の対象となったオブジェクトに関する情報(レジストリキーまたはファイル名、ファイルの完全パス、パステンプレートのコード、ファイルのチェックサム(MD5、SHA2-256、SHA1))。
- 読み込まれた本ソフトウェアのモジュールに関する情報:モジュールファイルの名前、サイズおよびチェックサム(MD5、SHA2-256、SHA1)、完全パスおよびファイルパスのテンプレートコード、モジュールファイルのデジタル署名のパラメータ、デジタル署名の生成時のタイムスタンプ、モジュールファイルに署名した組織または機関の名前、モジュールが読み込まれたプロセスの識別子、モジュールの製造元の名前、読み込みキュー内のモジュールの識別番号。
- 本ソフトウェアとKSNとの動作の品質に関する情報:統計生成の開始と終了の日時、各種KSNサービスへのリクエストと接続の品質に関する情報(KSNサービスの識別子、成功したリクエストの数、キャッシュ上の応答付きリクエストの数。(ネットワーク障害か、本ソフトウェアの設定ではKSNが無効になっているか、不正な経路制御などの理由によって)成功しなかったリクエストの数、成功したリクエストの時間分布、キャンセルされたリクエストの時間分布、タイムアウトしたリクエストの時間分布。キャッシュ上のKSN接続数、成功したKSN接続数、失敗したKSN接続数、成功したトランザクションの数、失敗したトランザクションの数。成功したKSN接続の時間分布、失敗したKSN接続の時間分布、成功したトランザクションの時間分布、失敗したトランザクションの時間分布)。
- 悪意のある可能性のあるオブジェクトが検知されると、プロセス内のメモリにおけるデータ、システムのオブジェクト階層(ObjectManager)の項目、UEFI BIOS メモリのデータ、レジストリキーの名前と値に関する情報が提供されます。
- イベントに関するシステムログ内の情報:イベントのタイムスタンプ、イベントが検知されたログの名前、イベントの種別およびカテゴリ、イベントの発生源の名前およびイベントの説明に関する情報。
- ネットワーク接続に関する情報:ポートを開いたプロセスを起動したファイルのバージョンおよびチェックサム(MD5、SHA2-256、SHA1)、プロセスファイルのパスおよびデジタル署名、ローカルおよびリモートの IP アドレス、ローカルおよびリモート接続のポート番号、接続状況、ポートが開かれたタイムスタンプ。
- 本ソフトウェアのコンピューター上でのインストールおよびアクティベーションに関する情報:日付、ライセンス購入元の代理店の識別子、ライセンスのシリアル番号、アクティベーションサービスによるチケットの署名済みヘッダー(地域のアクティベーションセンターの識別子、アクティベーションコードのチェックサム、チケットのチェックサム、チケットの生成日、チケットの一意な識別子、チケットのバージョン、ライセンスの有効状況、チケットの有効期間の開始および終了の日時、ライセンスの一意な識別子、ライセンスのバージョン)チケットヘッダーの署名に使用された証明書の識別子、キーファイルのチェックサム(MD5)、本ソフトウェアのコンピューターへのインストールの一意な識別子、アップデートされる本ソフトウェアの種別および識別子、アップデートタスクの識別子。
- 適用されているすべてのアップデート一式に関する情報、および最後に適用または削除されたアップデート一式に関する情報、アップデート情報の送信理由になったイベントの種別、最後にアップデートをインストールしてからの期間、情報の送信時に保存されていた定義データベースに関する情報。
- コンピューター上の本ソフトウェアの動作に関する情報。CPU 使用状況のデータ、メモリの使用に関するデータ(プライベートバイト、非ページプール、ページプール)、本ソフトウェアの処理中のスレッドおよび処理待ち状態のスレッドの数、エラーが起きる前の本ソフトウェアの動作期間、本ソフトウェアが対話モードで動作している状態を示すフラグ。
- 本ソフトウェアインストール後および前回のアップデート適用後に発生した本ソフトウェアのダンプおよびシステムダンプ(BSOD)の件数、エラーが発生したソフトウェアモジュールの識別子、エラー発生時のソフトウェアプロセスのスタック、およびエラー発生時の定義データベースに関する情報。
- システムダンプ(BSOD)に関する情報:コンピューターで BSOD が発生したことを示すフラグ、BSOD の原因となったドライバーの名前、ドライバーのアドレスおよびメモリスタック、BSOD が発生するまでのセッションの長さを示すフラグ、ドライバーの異常終了のメモリスタック、保管されたメモリダンプの種別、BSOD が発生するまで Windows OS のセッションが 10 分より長く継続していたことを示すフラグ、ダンプの一意な識別子、BSOD の発生日時。
- 本ソフトウェアの機能の動作中に発生したエラーまたは性能問題に関する情報:本ソフトウェアの動作状況の識別子、エラー種別、エラーコード、原因および発生日時、機能の識別子、エラーが発生した本ソフトウェアのモジュールおよびプロセス、エラーが発生したタスク識別子またはアップデートのカテゴリ、本ソフトウェアが使用するドライバーのログ(エラーコード、モジュール名、ソースファイル名およびエラーが発生した行)。
- 定義データベースおよび本ソフトウェアの機能のアップデートに関する情報:前回のアップデート中および今回のアップデート中にダウンロードしたインデックスファイルの名前と日時。
- 本ソフトウェアの動作の異常終了に関する情報:ダンプファイルの生成日時および種別、本ソフトウェアの動作の異常終了の起因となったイベントの種別、イベント識別子(予期しない電源の切断、サードパーティのアプリケーションの異常終了)、予期しない電源の切断が発生した日時。
- コンピューター上のソフトウェアならびにハードウェアと本ソフトウェアのドライバーとの互換性に関する情報:本ソフトウェアの機能動作に制限をかけるオペレーティングシステム(以下「OS」といいます)のプロパティ(Secure Boot、KPTI、WHQL Enforce、BitLocker、Case Sensitivity)、OSに搭載されている起動用ソフトウェア(UEFI、BIOS)、信頼済みプラットフォームモジュール(Trusted Platform Module、TPM)の有無を示すフラグ、コンピューターに搭載されている中央処理装置(CPU)に関する情報。整合性チェック機能およびデバイスコントロール機能の動作状況、ドライバーの動作状況と現行モードを使用した理由。コンピューター上のソフトウェアまたはハードウェアによって実装された仮想化機能と本ソフトウェアのドライバーとの互換性を示すフラグ。
- エラーの発生原因となったサードパーティのアプリケーションに関する情報:名前、バージョンおよび言語版、エラーコードおよびアプリケーションのシステムログに含まれるエラーに関する情報、エラーのアドレスおよび該当するサードパーティのアプリケーションのメモリスタック、ソフトウェアの機能でエラーが発生したことを示すフラグ、エラーが発生するまでサードパーティのアプリケーションが動作していた時間の長さ、エラーが起きたアプリケーションプロセスイメージのチェックサム(MD5、SHA2-256、SHA1)、アプリケーションプロセスイメージのパスおよびパスのテンプレートコード、システムログからのアプリケーションに関連付けられたエラーに関する情報、エラーが起きたアプリケーションモジュールの情報(エラーの識別子、アプリケーションモジュールのオフセットとしてのクラッシュメモリアドレス、モジュールの名前とバージョン、カスペルスキーのプラグイン内のアプリケーションクラッシュ識別子およびクラッシュのメモリスタック、クラッシュ直前までのアプリケーションセッションの長さ)。
- 本ソフトウェアのアップデート機能のバージョン、およびアップデート機能が開始してから終了するまでの間、アップデートタスク実行中に発生したエラーの数。
- アップデートタスク種別の識別子、アップデートタスクが完了するまでアップデーター機能がアップデートに失敗した回数。
- 本ソフトウェアのシステム監視機能の動作に関する情報:機能の詳細バージョンおよび起動日時、イベントキューをオーバーフローさせたイベントのコードおよび該当するイベントの数、イベントキューのオーバーフローの総数、イベントを開始したプロセスのファイルに関する情報(ファイル名およびコンピューター上のパス、ファイルパスのテンプレートコード、ファイルに関連付けられたプロセスのチェックサム(MD5、SHA2-256、SHA1))、発生したイベント取得の識別子、取得フィルターのバージョン、取得されたイベントの種別の識別子、キュー内の最初のイベントと現在のイベントの間のイベントキューのサイズとイベントの数、キュー内の遅延イベントの数、現在のイベントを開始したプロセスのファイルに関する情報(ファイル名およびコンピューター上のパス、ファイルパスのテンプレートコード、プロセスのチェックサム(MD5、SHA2-256、SHA1))、イベントの処理時間、イベントの処理時間の上限、統計を送信する確率。本ソフトウェアによる処理がタイムアウトしたOSイベントに関する情報(イベントの取得日時、定義データベースを改めて初期化した回数、定義データベースの更新後に定義データベースの初期化を最後に繰り返した日時、各種のシステム監視機能によるイベント処理の遅延時間、処理待ちイベントの数、処理済みイベントの数、処理中の種別に属するイベントの中で遅延されたイベントの数、処理中の種別に属するイベントの合計遅延時間、すべてのイベントの合計遅延時間)。
- 本ソフトウェアの性能に問題が発生した際に、Windows のイベントトレースツール(Event Tracing for Windows、以下「ETW」といいます)によって取得された、マイクロソフト社が提供する SysConfig、SysConfigEx、WinSATAssessment イベントプロバイダによる情報:コンピューターに関する情報(機種、製造元、形態、バージョン)、Windows 性能の指数に関する情報(Windows システム評価ツールによる評価情報、Windows エクスペリエンス インデックス)、ドメイン名。物理プロセッサおよび論理プロセッサに関する情報(物理プロセッサ数、論理プロセッサ数、製造元、機種、ステッピング、コア数、クロック周波数、プロセッサの識別子(CPUID)、キャッシュのパラメータ、論理プロセッサのパラメータ、各種のモードや命令への対応を示すフラグ)、ランダムアクセスメモリの装置に関する情報(種別、形態、製造元、機種、容量、メモリ確保の最小単位)。ネットワークインターフェースに関する情報(IP アドレス、MAC アドレス、名前、説明、ネットワークインターフェースの設定、ネットワークパケットの数や容量の種別毎の分配、ネットワーク通信速度、ネットワークエラーの種別毎の分配)、IDEコントローラの設定、DNS サーバーのIP アドレス。ビデオカードに関する情報(機種、説明、製造元、互換性、ビデオメモリの容量、画面の解像度、1ピクセル当りのビット数、BIOS のバージョン)。コンピューターに接続したプラグアンドプレイ機器に関する情報(名前、説明、識別子(PnP、ACPI))。ディスクやストレージに関する情報(ディスク数またはフラッシュドライブ数、製造元、機種、ディスク容量、シリンダ数、シリンダ当りのトラック数、トラック当りのセクタ数、セクタの容量、キャッシュのパラメータ、順序番号、パーティション数、SCSI コントローラの設定)。論理ドライブに関する情報(順序番号、パーティションの容量、ドライブの容量、ドライブ文字、パーティションの種別、ファイルシステムの種別、クラスター数、クラスターの容量、クラスター当りのセクター数、使用中のクラスターと空きクラスターの数、ブートボリュームの文字、ディスク開始からのパーティションオフセットとしてのアドレス)。マザーボードのBIOS に関する情報(製造元、公開日、バージョン)、マザーボードに関する情報(製造元、機種、種別)、物理メモリに関する情報(合計容量、空き容量)。OS サービスに関する情報(名前、説明、動作状況、タグ、プロセスに関する情報(名前、PID 識別子))、バッテリーの使用状況や設定、割り込みコントローラの設定、Windows システムフォルダーへのパス(Windows、System32)、OSに関する情報(バージョン、ビルド、公開日、名前、種別、インストール日)、ページングファイルのサイズ、ディスプレイに関する情報(数、製造元、画面の解像度、対応可能な解像度、種別)、ビデオカードのドライバーに関する情報(製造元、公開日、バージョン)。
- ETW によって取得された、マイクロソフト社が提供する EventTrace、EventMetadata イベントプロバイダによる情報:システムイベントの順序に関する情報(種別、日時、タイムゾーン)、トレース結果を含むファイル関連メタデータ(ファイル名、構成、トレースのパラメータ、トレース処理数の種別毎の分配)、OSに関する情報(名前、種別、バージョン、ビルド、公開日、起動時間)。
- ETW によって取得された、マイクロソフト社が提供する Process、Microsoft-Windows-Kernel-Process、Microsoft-Windows-Kernel-Processor-Power イベントプロバイダによる情報:起動または終了したプロセスに関する情報(プロセス名、プロセス識別子(PID)、起動のパラメータ、コマンドライン、戻り値、電源管理のパラメータ、起動と終了の時刻、アクセストークンの種別、セキュリティの識別子(SID)、セッション識別子(SessionID)インストール済みディスクリプタの数 )。スレッドの優先度の変更に関する情報(スレッド識別子(TID)、優先度、時刻)、プロセスによるディスク上の処理に関する情報(種別、時刻、容量、番号)、プロセスによって使用されるメモリの構成と使用容量の変更履歴。
- ETW によって取得された、マイクロソフト社が提供する StackWalk、Perfinfo イベントプロバイダによる情報:パフォーマンスカウンタによるデータ(特定のコード分のパフォーマンス、関数の呼び出し順序、プロセス識別子(PID)、スレッド識別子(TID)。割り込みサービスルーチン(ISR、Interrupt Service Routine)の割り込みハンドラおよび遅延プロシージャ呼び出し(DPC)のアドレスと属性)
- ETW によって取得された、マイクロソフト社が提供するKernelTraceControl-ImageID イベントプロバイダによる情報:実行ファイルおよび動的ライブラリに関する情報(名前、イメージサイズ、完全パス)、PDBファイルに関する情報(ファイル名、識別子)、実行ファイルの VERSIONINFO リソースによるデータ(ファイル名、説明、製造元、言語版、アプリケーションのバージョンと識別子、ファイルのバージョンと識別子)。
- ETW によって取得された、マイクロソフト社が提供する FileIo、DiskIo、Image、Windows-Kernel-Disk イベントプロバイダによる情報:ファイルとディスクの処理に関する情報(種別、容量、開始時間、終了時間、期間、完了状況、プロセス識別子(PID)、スレッド識別子(TID)、ドライバーの関数呼び出しのアドレス、入出力要求パケット(IRP、I/O Request Packet)、Windows ファイルオブジェクトの属性)。ファイルとディスクの処理に関連するファイルに関する情報(ファイル名、バージョン、サイズ、完全パス、属性、オフセット、イメージのチェックサム、読み込みとアクセスのオプション)。
- ETW によって取得された、マイクロソフト社が提供する PageFault イベントプロバイダによる情報:メモリページへのアクセスのエラーに関する情報(アドレス、時刻、容量、プロセス識別子(PID)、スレッド識別子(TID)、Windows ファイルオブジェクトの属性、メモリ確保のパラメータ)。
- ETW によって取得された、マイクロソフト社が提供する Thread イベントプロバイダによる情報:スレッドの生成や終了に関する情報、実行中のスレッドに関する情報(プロセス識別子(PID)、スレッド識別子(TID)、スタックサイズ。CPU リソース、入出力 リソースおよびメモリページにおけるスレッド毎の優先度ならびに分配、スタックのアドレス、初期関数のアドレス、スレッド環境ブロック(Thread Environment Block, TEB)のアドレス、Windows のサービスタグ)。
- ETW によって取得された、マイクロソフト社が提供する Microsoft-Windows-Kernel-Memory イベントプロバイダによる情報:メモリ管理の処理に関する情報(完了状況、時刻、数、プロセス識別子(PID))、メモリの割り当ての構成(種別、容量、セッション識別子(SessionID)、プロセス識別子(PID))。
- 本ソフトウェアの性能に問題が発生した際に、本ソフトウェアの動作に関する情報:本ソフトウェアのインストール識別子、性能低下の種別および値、本ソフトウェアの内部イベントの順序に関する情報(時刻、タイムゾーン、種別、完了状況、本ソフトウェアの機能の識別子、本ソフトウェアの動作スクリプトの識別子、スレッド識別子(TID)、プロセス識別子(PID)、関数呼び出しのアドレス)。スキャンされるネットワーク接続に関する情報(URL、通信の方向(送信か受信)、ネットワークパケットのサイズ)、PDB ファイルに関する情報(ファイル名、識別子、実行ファイルのイメージサイズ)、スキャンされるファイルに関する情報(ファイル名、完全パス、チェックサム)、本ソフトウェアの性能監視のパラメータ。
- 最新の OS の再起動の失敗に関する情報:OS をインストールしてから再起動に失敗した回数、システムダンプに関する情報(エラーのコードおよびパラメータ、OS の動作のエラーの原因となったモジュールの名前、バージョンおよびチェックサム(CRC32)、モジュールのオフセットとしてのエラーのアドレス、システムダンプのチェックサム(MD5、SHA2-256、SHA1)。
- ファイルの署名に使用されるデジタル署名の信頼性を検証するための情報:証明書のフィンガープリント、チェックサムのアルゴリズム、証明書の公開鍵およびシリアル番号、証明書の発行者名、証明書の検証結果および証明書のデータベース識別子。
- 本ソフトウェアのセルフディフェンス機能への攻撃を実行したプロセスに関する次の情報:プロセスファイルの名前およびサイズ、チェックサム(MD5、SHA2-256、SHA1)と完全パス、パステンプレートコード、プロセスファイルの作成および連結の日時、プロセスファイルの種別コード、実行可能かどうかを示すフラグ、プロセスファイルの属性、プロセスファイルの署名に使用された証明書、怪しい動作を実行しているプロセスまたはスレッドが使用するアカウントの種別、プロセスにアクセスするために実行した操作の識別子、操作の実行時に使用したリソース(プロセス、ファイル、レジストリオブジェクト、FindWindow 検索関数)の種別、操作の実行時に使用したリソースの名前、操作の成功可否のフラグ、プロセスのファイルおよびそのデジタル署名のKSN登録状況。
- 本ソフトウェアに関する情報:詳細バージョン、種別、言語および動作状況、インストールされた本ソフトウェア機能のバージョンおよびその動作状況、インストールされた本ソフトウェアのアップデートに関する情報、TARGET フィルターの値、カスペルスキーのサービスに接続するために使用されたプロトコルのバージョン。
- コンピューターにインストールされたハードウェアに関する情報:種別、名前、機種、ファームウェアのバージョン、搭載または接続された装置のパラメータ、本ソフトウェアをインストールしたコンピューターの一意な識別子。
- オペレーティングシステムのバージョンおよびインストールされているアップデートに関する情報:ビット数、エディションおよび OS 実行モードのパラメータ、OS カーネルファイルのバージョンおよびチェックサム(MD5、SHA2-256、SHA1)、OS 起動日時。
また、本ソフトウェアの提供する保護機能の効率性を向上させるため、カスペルスキーは、コンピューターに損害を与え、情報セキュリティ上の脅威を作成する目的で侵入者に悪用される可能性のあるオブジェクトを受け取ることがあります。このようなオブジェクトには次のものが含まれます:
- 実行または非実行ファイルまたはその一部
- コンピューターの RAM の領域
- OS 起動時に採用されるセクタ
- ネットワーク通信のデータパケット
- 疑わしい、および悪意のあるオブジェクトを含む Web ページまたはメール
- WMI レポジトリ上のクラスおよびそれらのインスタンスの記述
- アプリケーション活動に関するレポート
アプリケーション活動に関するレポートには、ファイルおよびプロセスに関する次のデータが含まれます:
- 送信されるファイルの名前、サイズおよびバージョン、説明およびチェックサム(MD5、SHA2-256、SHA1)、ファイル形式の識別子、ファイルの製造元の名前、ファイルが属するアプリケーションの名前、コンピューター上の完全パス、ファイルのパステンプレートコード、ファイルの作成日時および更新日時。
- 証明書の有効期間の開始日時と終了日時(ファイルにデジタル署名がある場合)、署名適用の日時、証明書の発行者名、証明書の所有者に関する情報、証明書のフィンガープリント、公開鍵およびそれぞれの生成アルゴリズム、証明書のシリアル番号。
- プロセスを実行したアカウント名
- プロセスが実行されているコンピューター名のチェックサム(MD5、SHA2-256、SHA1)
- プロセスウィンドウのタイトル
- 定義データベースの識別子、カスペルスキーの分類による検知された脅威の名前
- 使用中のライセンスに関するデータ、識別子、種別および有効期限
- 情報を提供したときのコンピューター上のローカル時間
- プロセスがアクセスしたファイルの名前とパス
- プロセスがアクセスしたレジストリキーおよびそれらの値
- プロセスがアクセスした URL および IP アドレス
- 実行ファイルのダウンロード元 URL および IP アドレス
また、誤検知を防ぐ目的で、カスペルスキーは信頼済みの実行または非実行ファイル、およびそれらの一部を受け取ることがあります。
上記の情報のKSNへのご提供は任意です。本ソフトウェアのインストール後、ユーザーマニュアルに記載されている通り、お客様はいつでも本ソフトウェアの設定から KSN の使用を有効または無効にできます。
(C) 2018 AO Kaspersky Lab. 無断複写・転載を禁じます。