「振る舞い検知」とは?未知の脅威対策に必要不可欠!

INDEX

    コンピュータウイルス対策は「サイバー戦争」と言われる次元に突入

    コンピュータウイルス対策には、セキュリティソフトを入れているから大丈夫、と安心している方も多いのではないでしょうか。

    実際にはセキュリティソフトも万能ではないため、何も知らないまま適当な製品を入れただけでは、万全な対策にはならないのが現実です。

    現在、コンピュータウイルスを通じて利益を得ようとするサイバー犯罪者達と、情報セキュリティを守る側との戦いは、もはや「サイバー戦争」と言われるほど熾烈な状態にあります。

    そんな中で経営の安定を図るために、ウイルス対策として導入するセキュリティソフトに「振る舞い検知」と呼ばれる機能が必要とされています。その理由はなぜなのでしょうか、そして振る舞い検知とはどのような機能なのでしょうか?

    コンピュータウイルスは1日に数十万種も作られている

    コンピュータウイルスは、コンピュータオタクあるいは凄腕ハッカーのような個人によって密かに作られているのをイメージするかもしれませんが、それは昔の話です。

    現在のサイバー犯罪は組織的な「闇ビジネス」化していて、ウイルス開発キットを作る者、そのキットでウイルスを作って販売する者、それを使ってサイバー攻撃を行う者、不正送金されたお金を回収する者など複数の専門家が分業する体制になっています。

    ウイルス開発キットを使うと、技術的な知識がなくても簡単にウイルスを作れてしまうため、ウイルス作者のすそ野は一気に広がってしまいました。

    また、「闇ビジネス」化により、それで金銭を得られる仕組みが整ったため、サイバー犯罪者側がウイルス作成に励む動機づけが生まれ、それに専念するようになり、急速に技術開発が進んでいます。

    その結果起きているのが、新種/亜種のコンピュータウイルスの爆発的な増加です。「新種」はまったく新しいもの、「亜種」は既存のウイルスに若干手を加えて変化させたものを指しますが、本記事では合わせて「新種」と呼びます。

    2000年頃までは「1年に十万種」程度の新種ウイルスが発見されていましたが、現在そのペースは「1日に数十万種」に激増しています。

    セキュリティ対策ソフトもそのすべてに対応するのは困難な状況であり、PCがウイルスに感染する前に確実に発見・駆除するのは、難しくなりつつあるのが現実です。


    「振る舞い検知」方式はプログラムの「動き」を元にウイルスと判断する

    そのような新種ウイルス激増の時代に求められているのが、「まったく新しい未知のウイルスにも対応できるセキュリティ」です。

    そしてそのために開発されたのが「振る舞い検知」という技術で、ウイルスがPC内で動く際には正常なプログラムとは違う、ウイルス特有の動作をすることを手がかりに検知する方法です。

    たとえていうなら、小売店から商品を盗もうとする窃盗犯は店員や防犯カメラの位置を気にするもので、正規の客とは違った動きをします。そこで現在では、画像認識技術でそのような動きを検出し、警告を発する防犯カメラシステムも開発されています。

    コンピュータウイルスに対する「振る舞い検知」もこれに似ていて、プログラムが実際に動くときの動作、「振る舞い」からウイルスと判断します。

    「振る舞い検知」がまったく未知のウイルスにでも対応できる理由とは?

    セキュリティソフトがウイルスを検知する方法としては、パターンマッチ方式と呼ばれるものが最も歴史が古くスタンダードです。「振る舞い検知」方式は比較的新しい仕組みのため、ソフトによっては対応していないものもあります。

    パターンマッチ方式は、新しいウイルスを発見したらそれを解析して、その中の特徴的な「パターン」を登録しておき、ファイルを検査して同じパターンがあればウイルスと見なすという、いわば「指名手配リスト」型の方式です。

    「検査」は、PCにファイルが出入りするときの他に、PC内にすでに存在するファイルもすべて定期的に行われます。

    指名手配のパターンを集めたものをパターンファイルと言い、セキュリティソフトの開発元が提供します。すでに発見されて解析済みのウイルスについては非常に高い精度で検知できますが、新種のウイルスは発見できないという弱点があります。

    現在のウイルスは、このパターンマッチから逃れるために、検出される「パターン」の部分を分割したりウイルス本体を暗号化したりするなど、さまざまな方法を駆使しています。

    窃盗犯にたとえるなら、顔写真入り手配書が出回るようになったので、変装して手配を逃れるようなものです。しかし、窃盗犯が変装で顔を隠したとしても「商品を盗む」という動作そのものをやめることはできないように、ウイルスも外部のサーバーと通信したりファイルを暗号化したりといった、ウイルス動作そのものを取りやめることはできません。

    それが、「振る舞い検知」方式でまったく未知のウイルスにでも対応することができる理由です。


    すべての病気に効く薬はないように、振る舞い検知技術にも弱点がある

    とはいえ、振る舞い検知も万能ではありません。パターンマッチ方式に比べると、「誤検知」という、正常なプログラムを誤ってウイルスと判断してしまうケースが増える傾向があります。

    原理的にウイルスを動作させてからでないと検出できないため、ランサムウェアのようにファイル暗号化やシステム破壊を起こす種類のウイルスではある程度被害が起きることは防げません。

    また、振る舞い検知方式では常時セキュリティ対策ソフトを動かし続ける必要があり、CPUやメモリの負荷も重くなります。

    ウイルス対策分野でも進みつつある機械学習(AI)技術の応用

    近年さまざまな分野で応用が進むAI、機械学習/人工知能系の技術は、当然セキュリティ対策の分野でも使われています。

    ウイルス検知というのは、プログラムをさまざまな側面から調べて、総合的に「ウイルスの疑いが高い/低い」という判断をする技術です。これはもともと「クラス分類」というAIの典型的な応用分野のひとつであり、以前から研究が進んでいます。

    振る舞い検知方式、パターンマッチ方式ともAI技術が利用されていますが、AIを応用してウイルス検出の精度を向上させるためには、大量のウイルス検体データが欠かせません。

    このため、ウイルス対策セキュリティソフトの性能は、いかに多種類のウイルス検体を入手し、解析できるかに大きく左右されます。

    ウイルス対策手法の1つレピュテーション技術とは?

    また、振る舞い検知で未知の脅威を強力に防ぎつつ誤検知を減らすためには、レピュテーションという技術が有効であることが知られています。

    レピュテーションとは「評判」を意味する言葉で、セキュリティソフトの検査対象のファイルやWebサイトに関する「評判」をクラウド上に蓄積してウイルス検知の手がかりとするのが、レピュテーション技術です。

    これによって、パターンマッチや振る舞い検知だけでは白黒をつけづらいグレーゾーンのウイルス判定を、より高精度で行うことができるようになります。


    まとめ:ウイルス対策はさまざまなセキュリティ技術の総合力が問われる分野

    コンピュータウイルスがこの世に登場したのは数十年前ですが、2000年以後の10数年間で、サイバーセキュリティに関する環境は劇的な変化を遂げました。

    機密情報の入手や脅迫を通じて不正な利益を狙うサイバー犯罪は、高度な技術を駆使する専門家がゆるやかにつながった組織的な犯罪と化しています。

    それに対抗するためには、守る側もPCを未知の脅威から防ぐ「振る舞い検知」を含むさまざまなセキュリティ技術を駆使していかなければなりません。ウイルス対策はセキュリティの総合力が問われる分野なのです。

    もっと知りたい! リアルタイムで監視「振る舞い検知」で未知の脅威対策も万全に >>

    お役立ち資料を
    まとめてダウンロード!
    IT資産管理やセキュリティに関するお役立ち資料を、
    ダウンロードいただけます!
    今すぐ資料ダウンロード

    人気ランキング


    開催イベント

    • VPNの不正接続を防止する!VPN環境セキュリティ強化セミナー

      オンライン配信

      4/21(水)~5/28(金)

      VPNの不正接続を防止する!VPN環境セキュリティ強化セミナー

      トレンド

    • オンライン配信

      5/25(火)12:00~13:00

      AssetViewを使った脆弱性管理方法のデモンストレーション

      トレンド

    • オンライン配信

      5/20(木)10:30~11:30

      AssetView 活用セミナー
      ~Windows更新管理編(P)~

      運用支援

    • オンライン配信

      5/20(木)14:30~15:30

      AssetView 活用セミナー
      ~アプリケーション配布編(D)~

      運用支援

    • オンライン配信

      5/27(木)10:30~11:30

      AssetView 活用セミナー
      ~デバイス管理編(G)~

      運用支援

    • オンライン配信

      5/27(木)14:30~15:30

      AssetView 新バージョンの機能を紹介!

      運用支援

    オススメのプロダクト

    • AssetsView
      IT資産管理ソフトウェア
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT資産管理ソフトウェア
    • ホットプロファイル
      名刺管理、営業支援ツール
      多忙な営業現場でも継続できる、
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト