検出項目の確認・対処ガイド

このページでは、スキャン結果に表示された各項目について 自分で確認・対処する方法 を説明します。

基本の流れ:

  レポートに検出あり
        ↓
  Step 1: 自分で確認（このページの手順）
        ↓
    ┌────────────┐
    │ 心当たりが │──→ 安全。対応不要
    │ ある？     │
    └────┬───────┘
         │ ない / わからない
         ↓
  Step 2: 自分で対処（このページの手順）
        ↓
    ┌────────────┐
    │ 解決した？ │──→ 完了！
    └────┬───────┘
         │ いいえ
         ↓
  Step 3: IT部門に連絡
         レポートファイルを添えて相談

---

1. 不審なプロセス

レポート例: 不審なプロセスを検出: xxxxx

確認方法

そのプロセスが何かを調べましょう。

Mac:

1. アクティビティモニタ を開く（Spotlight で「アクティビティモニタ」と検索）
2. 右上の検索バーにレポートに書かれたプロセス名を入力
3. 見つかったら選択して 「i」ボタン をクリック → 詳細を確認

┌──────────────────────────────────────────────┐
│  アクティビティモニタ                        │
│                                              │
│  🔍 [ プロセス名を入力 ]                    │
│                                              │
│  プロセス名    ユーザー   CPU   メモリ       │
│  ─────────────────────────────────────────── │
│  xxxxxxx       takehiro   2.1%  50MB         │
│     ↑ 選択して「i」ボタンで詳細を見る       │
└──────────────────────────────────────────────┘

Windows:

1. Ctrl + Shift + Esc でタスクマネージャーを開く
2. 「詳細」タブをクリック
3. レポートに書かれたプロセス名を探す
4. 右クリック → 「ファイルの場所を開く」で場所を確認

判断の目安

こういう場合は安全	こういう場合は危険
自分がインストールしたアプリ	名前に心当たりがない
場所が Program Files や Applications 内	場所が Temp や tmp 内
有名なソフトの名前	ランダムな文字列の名前

自分で対処する方法

心当たりがないプロセスを停止する:

Mac:

1. アクティビティモニタでプロセスを選択
2. 左上の 「×」ボタン をクリック
3. 「強制終了」 を選択

┌────────────────────────────┐
│  [×] ← ここをクリック     │
│                            │
│  「このプロセスを終了      │
│   しますか？」             │
│                            │
│  [終了]  [強制終了] ← コレ │
└────────────────────────────┘

Windows:

1. タスクマネージャーで右クリック
2. 「タスクの終了」 をクリック

プロセスを停止しても再起動で復活する場合

→ 「4. 自動起動項目」のセクションも確認してください。自動起動に登録されている可能性があります。

IT部門に連絡する目安

• 停止しても繰り返し起動する
• 場所が Temp フォルダ内にある
• プロセス名がランダムな文字列

---

2. 不審なネットワーク接続

レポート例: 不審なポートへの接続: :4444 (Metasploit default)

確認方法

どのアプリがその通信をしているか確認します。

Mac:

1. ターミナル を開く
2. 以下を入力（ポート番号はレポートに書かれた数字に置き換え）:

lsof -i :4444

表示された COMMAND 列がアプリ名、PID が識別番号です。

Windows:

1. 管理者としてコマンドプロンプトを開く（検索バーで「cmd」→右クリック→「管理者として実行」）
2. 以下を入力:

netstat -ano | findstr :4444

表示された右端の数字がPID。次にアプリを特定:

tasklist | findstr PID番号

判断の目安

安全な可能性	危険な可能性
開発ツール（VS Code, Docker等）が使うポート	知らないアプリが外部と通信
VPN ソフトの通信	レポートに「C2」「RAT」と書かれている
ブラウザの通信	接続先IPが海外

自分で対処する方法

不審な接続のアプリを停止:

上の確認手順で特定したPIDを使って:

Mac:

kill PID番号

Windows (管理者コマンドプロンプト):

taskkill /PID PID番号 /F

IT部門に連絡する目安

• レポートに「C2サーバー」「RAT」と記載がある → 即座に連絡
• 接続元のアプリが特定できない
• 停止してもまた接続される

---

3. 注意が必要なブラウザ拡張機能

レポート例: 注意が必要な拡張機能: XXXX

確認方法

Chrome:

1. アドレスバーに chrome://extensions と入力して Enter
2. レポートに書かれた拡張機能名を探す
3. 拡張機能の 説明 と 権限 を確認

┌──────────────────────────────────────────────┐
│  chrome://extensions                         │
│                                              │
│  ┌──────────────────────────────────┐        │
│  │  XXXX Extension          [有効] │        │
│  │  「詳細」← クリックして確認     │        │
│  └──────────────────────────────────┘        │
└──────────────────────────────────────────────┘

Edge:

• アドレスバーに edge://extensions と入力

判断の目安

安全な例	注意が必要な例
広告ブロッカー（uBlock Origin等）	名前に心当たりがない
パスワードマネージャー（1Password等）	「全てのサイトデータを読み取る」権限
会社指定のツール	Chrome Web Store にない
レビュー数が多く評価が高い	最近勝手にインストールされた

自分で対処する方法

不要な拡張機能を削除する:

Chrome:

1. chrome://extensions を開く
2. 削除したい拡張機能の 「削除」 をクリック
3. 確認ダイアログで 「削除」

┌──────────────────────────────────────┐
│  XXXX Extension                      │
│                                      │
│  [詳細]  [削除] ← これをクリック    │
│                                      │
│  「XXXX Extension を削除しますか？」 │
│  [キャンセル]  [削除] ← 確定        │
└──────────────────────────────────────┘

Edge:

1. edge://extensions → 該当の拡張の 「削除」

Safari (Mac):

1. Safari → 設定 → 機能拡張
2. 該当する拡張を選択 → 「アンインストール」

迷ったら無効化から

いきなり削除が不安なら、まずスイッチを OFF にして無効化しましょう。問題なければ後で削除。

IT部門に連絡する目安

• 自分でインストールした覚えがまったくない拡張がある
• 削除しても再び勝手にインストールされる

---

4. 不審な自動起動項目

レポート例: 不審な自動起動項目: com.xxx.plist

確認方法

Mac:

1. Finder を開く
2. メニューバーの 「移動」→「フォルダへ移動」 をクリック
3. ~/Library/LaunchAgents と入力して Enter
4. レポートに書かれたファイル名を探す
5. ファイルを右クリック → 「テキストエディット」で開く → 中身を確認

ファイルの中に書かれた ProgramArguments を見る:

  <key>ProgramArguments</key>
  <array>
    <string>/usr/local/bin/なにか</string>  ← 何が実行されるか
  </array>

Windows:

1. Windowsキー + R → shell:startup と入力 → Enter
2. スタートアップフォルダが開く。不審なファイルを確認

レジストリの自動起動も確認:

1. Windowsキー + R → msconfig と入力 → Enter
2. 「スタートアップ」 タブで一覧を確認

判断の目安

安全な例	危険な例
com.google.xxx (Google系)	ランダムな文字列.plist
com.microsoft.xxx (MS系)	/tmp/ から実行するもの
com.apple.xxx (Apple系)	curl や wget が含まれる
自分で入れたアプリ名	base64 が含まれる（難読化）

自分で対処する方法

Mac — 不審なLaunchAgentを無効化:

手順:
  1. まず無効化（すぐに効く）
  2. 問題なければ削除

1. ターミナルを開く
2. 無効化する:

launchctl unload ~/Library/LaunchAgents/不審なファイル名.plist

3. 問題なければ、ファイルをゴミ箱に移動

Windows — 不審なスタートアップを無効化:

1. Ctrl + Shift + Esc でタスクマネージャーを開く
2. 「スタートアップ」 タブを選択
3. 不審な項目を右クリック → 「無効化」

┌──────────────────────────────────────────────┐
│  タスクマネージャー > スタートアップ          │
│                                              │
│  名前          発行元          状態           │
│  ──────────────────────────────────────────  │
│  不審なアプリ  不明            有効           │
│     ↑ 右クリック → 「無効化」               │
└──────────────────────────────────────────────┘

スタートアップフォルダ内のファイル:

1. shell:startup フォルダを開く
2. 不審なファイルを ゴミ箱に移動

IT部門に連絡する目安

• 無効化しても復活する
• 中身に curl wget base64 nc が含まれる → 即座に連絡
• 何を実行しているか判断がつかない

---

5. 不審なファイル

レポート例: /tmp 内の実行可能ファイル: xxxx / 二重拡張子ファイル: document.pdf.exe

確認方法

レポートに書かれたパスのファイルを確認します。

Mac:

1. Finder → 「移動」→「フォルダへ移動」→ レポートのパスを入力
2. ファイルを右クリック → 「情報を見る」→ 種類・サイズ・作成日を確認

Windows:

1. エクスプローラーのアドレスバーにパスを貼り付け
2. ファイルを右クリック → 「プロパティ」で確認

判断の目安

安全な可能性	危険な可能性
自分が作成したファイル	二重拡張子（例: report.pdf.exe）
開発作業で作ったスクリプト	/tmp や Temp 内の実行ファイル
日付が自分の作業日と一致	覚えのない日時に作成されている

二重拡張子ファイルは要注意！

報告書.pdf.exe 請求書.xlsx.scr のように、文書に見せかけた実行ファイルは
マルウェアの典型的な手口です。絶対に開かないでください。

自分で対処する方法

不審なファイルを削除する:

Mac:

1. Finder でファイルを見つける
2. ゴミ箱にドラッグ
3. ゴミ箱を空にする

Windows:

1. エクスプローラーでファイルを見つける
2. 右クリック → 「削除」
3. ゴミ箱を空にする

削除前にファイル名をメモ

後でIT部門に報告するため、ファイル名とパスをメモ（またはスクリーンショット）しておくと安心です。

IT部門に連絡する目安

• 二重拡張子ファイルが見つかった → 即座に連絡
• ファイルを削除できない（ロックされている）
• 削除しても再び作成される

---

6. 高CPU使用プロセス

レポート例: 高CPU使用プロセス: xxxx (CPU: 95%)

確認方法

Mac:

1. アクティビティモニタを開く
2. 「CPU」 タブをクリック
3. CPU使用率が高いプロセスの名前を確認

Windows:

1. Ctrl + Shift + Esc → タスクマネージャー
2. 「プロセス」 タブ → CPU列をクリックしてソート

判断の目安

安全な例	危険な可能性
ブラウザ（タブを大量に開いている）	名前に心当たりがない
動画編集ソフト	xmrig, minerd 等の名前
ウイルス対策ソフトのスキャン中	CPU 90%超えが長時間続く
ソフトのアップデート中	プロセスの場所が Temp 内

自分で対処する方法

1. まず、重い作業（動画再生、大きなファイルの処理等）をしていないか確認
2. ブラウザのタブを閉じて改善するか確認
3. それでも高いままのプロセスは 「1. 不審なプロセス」 の手順で停止

IT部門に連絡する目安

• 何もしていないのに常にCPU 90%超え
• プロセス名に miner xmrig が含まれる → クリプトマイナーの疑い

---

7. Chatwork関連の検出

レポート例: Chatwork認証データが存在 / Chatworkアプリデータが存在

これはINFO（情報提供）です

多くの場合、Chatworkを普通に使っていれば検出される項目です。
今回のアカウント乗っ取り対応として、以下を実施するだけでOKです。

自分で対処する方法

ブラウザのChatworkデータを削除: → ブラウザ清掃の手順 に従ってください

Chatworkデスクトップアプリのキャッシュを削除:

Mac:

1. Chatworkアプリを終了
2. Finder → 「移動」→「フォルダへ移動」
3. ~/Library/Application Support/Chatwork と入力
4. フォルダの中身をすべて削除（フォルダ自体は残してOK）
5. Chatworkアプリを再起動 → 新しいパスワードでログイン

Windows:

1. Chatworkアプリを終了
2. Windowsキー + R → %APPDATA%\Chatwork と入力 → Enter
3. フォルダの中身をすべて削除
4. Chatworkアプリを再起動 → 新しいパスワードでログイン

IT部門に連絡する目安

• この項目だけなら連絡不要です

---

8. hostsファイルの改ざん

レポート例: hostsファイルにChatwork関連のエントリを検出 / 重要ドメインのhosts改ざん

これがCRITICALで出た場合は危険です

hostsファイルの改ざんは、あなたの通信を偽サイトに誘導する攻撃です。

確認方法

Mac:

1. ターミナルを開く
2. 以下を入力:

cat /etc/hosts

Windows:

1. メモ帳を 管理者として 開く（検索バーで「メモ帳」→ 右クリック → 「管理者として実行」）
2. 「ファイル」→「開く」→ アドレスバーに以下を貼り付け:

C:\Windows\System32\drivers\etc\hosts

3. ファイルの種類を「すべてのファイル」に変更して開く

内容の見方

# 正常なhostsファイルの例:
127.0.0.1       localhost
::1             localhost

# ↑ これだけなら正常。以下のような行があると危険:

192.168.x.x     chatwork.com      ← 危険！偽サイトに誘導
10.x.x.x        google.com        ← 危険！
xxx.xxx.xxx.xxx slack.com         ← 危険！

自分で対処する方法

不審な行を削除する:

Mac:

1. ターミナルで以下を実行:

sudo nano /etc/hosts

2. パスワードを入力
3. localhost 以外の不審な行を削除
4. Ctrl + O → Enter で保存 → Ctrl + X で終了

Windows:

1. 管理者でメモ帳を開いて hosts ファイルを開く（上記手順）
2. localhost 以外の不審な行を削除
3. 「ファイル」→「上書き保存」

IT部門に連絡する目安

• chatwork.com google.com slack.com などの業務ドメインが書かれている → 即座に連絡
• 自分で編集した覚えがないのにエントリがある → 即座に連絡
• 自分で追加した行がある（開発用など）→ 問題なし

---

9. 最近変更された隠しファイル

レポート例: 最近変更された隠しファイル: .xxxx

確認方法

Mac:

1. ターミナルを開く
2. 以下を入力:

ls -la ~/ファイル名

3. ファイルの内容を確認:

cat ~/ファイル名

隠しファイルをFinderで表示するには:

• Command + Shift + . （ドット）を押すと、隠しファイルが表示/非表示

判断の目安

安全な例	確認が必要な例
.npmrc .yarnrc (開発ツール)	名前に心当たりがない
.env.local (開発設定)	ランダムな文字列のファイル名
.ssh/known_hosts (SSH接続履歴)	最近インストールしたものがない

自分で対処する方法

1. まずファイルの中身を確認（上の手順）
2. 開発ツールの設定ファイルなら問題なし
3. 不明なファイルはゴミ箱に移動

IT部門に連絡する目安

• 中身が暗号化されている（読めない文字列）
• バイナリファイル（テキストではない）

---

10. カスタムDNSサーバー

レポート例: カスタムDNSサーバー: x.x.x.x

確認方法

自分でDNSを変更した覚えがあるか確認。

Mac:

1. 「システム設定」→「Wi-Fi」（または「ネットワーク」）
2. 接続中のネットワークの「詳細」→「DNS」タブを確認

Windows:

1. 「設定」→「ネットワークとインターネット」→「Wi-Fi」（またはイーサネット）
2. 接続中のネットワークの「プロパティ」→ DNS設定を確認

判断の目安

安全なDNS	確認が必要
8.8.8.8 / 8.8.4.4 (Google)	見覚えのないIPアドレス
1.1.1.1 / 1.0.0.1 (Cloudflare)	会社のルールと異なるDNS
会社が指定したDNS

自分で対処する方法

DNSを自動取得に戻す:

Mac:

1. 「システム設定」→「Wi-Fi」→ 接続中のネットワークの「詳細」
2. 「DNS」→ カスタムDNSを選択して 「-」 ボタンで削除
3. 「OK」で保存

Windows:

1. 「設定」→「ネットワークとインターネット」→ 接続中のネットワーク
2. 「DNS サーバーの割り当て」→ 「自動 (DHCP)」 に変更

IT部門に連絡する目安

• 自分で設定した覚えがないのに変なDNSが設定されている

---

11. npmサプライチェーン攻撃

レポート例: 侵害されたパッケージを検出: axios@1.14.1

CRITICALで検出された場合

→ エンジニア向け対応 の手順に従ってください

INFO（安全なバージョン）と表示された場合

axios@x.x.x を検出 (安全なバージョン) と表示された場合は問題ありません。
念のためバージョンを最新に更新しておくことをお勧めします。

npm install axios@latest

IT部門に連絡する目安

• CRITICAL で検出された場合 → 即座に連絡（ネットワーク切断）
• INFO のみ → 連絡不要

---

まとめ: 対応フローチャート

レポートを開く
    ↓
CRITICAL がある？
    ├── はい → IT部門に即連絡。PCの使用中止
    └── いいえ ↓

HIGH がある？
    ├── はい → このページの手順で確認
    │         → 自分で対処できた？
    │              ├── はい → 対処後レポートをIT部門に提出
    │              └── いいえ → IT部門に相談
    └── いいえ ↓

MEDIUM がある？
    ├── はい → このページの手順で確認
    │         → 心当たりがある → OK。念のためレポート提出
    │         → 心当たりがない → 対処するか、IT部門に相談
    └── いいえ ↓

LOW / INFO のみ？
    └── レポートを提出して完了！
        パスワード変更と2FAは忘れずに