アンチウイルスソフトウェアの仕組み--入れる価値はあるのか - (page 2)

文:Michael Kassner 翻訳校正:石橋啓一郎

2010-01-29 07:00

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

マルウェアの検知

 マルウェア検知の手法は2つに分かれる。シグネチャに基づくマルウェア検知と、挙動に基づくマルウェア検知だ。アンチウイルスアプリケーションは、プログラムの洗練度によってその一方、あるいは両方の手法を利用する。シグネチャに基づくマルウェア検知はかなり古くからあるため、まずはこちらについて見てみよう。

シグネチャに基づくマルウェア検知

 シグネチャに基づくマルウェア検知は、パターン認識に依存している。その動作原理はこうだ。アンチウイルスアプリケーションは、問題になっているファイルをスキャンし、コードの特定のバイトをマルウェアのシグネチャデータベースと比較する。もしスキャンされたファイルのパターンが、データベースにあるものと一致すれば、そのファイルはマルウェアであると見なされる。その場合アンチウイルスアプリケーションは、プログラムの設定次第で、そのファイルを隔離または削除する。

欠点

 現在、シグネチャに基づくマルウェア検知はほとんどすべてのアンチウイルスプログラムに含まれている。しかし、アンチウイルス企業は次のような理由からシグネチャに基づくマルウェア検知から脱皮しようとしている。

  • シグネチャに基づくマルウェア検知の手法は、新たなマルウェアや未知のマルウェアには効果がない。
  • 新たなマルウェアは日々作り出されており、シグネチャデータベースはかなり頻繁に更新される必要がある。

 これらは妥当な懸念であり、このためアンチウイルス企業は、多くの時間と手間を挙動に基づくマルウェア検知に投資している。

挙動に基づくマルウェア検知

 挙動に基づくマルウェア検知は、ソフトウェアの作りではなく、プログラムがどのように動作するかをモニターするというものだ。もし普通ではない挙動が検知されると、もしそのソフトウェアが正しいものに見えても、そのプログラムにはフラグが立てられる。挙動に基づくマルウェア検知には、2つのタイプがある。異常に基づくマルウェア検知と、仕様に基づくマルウェア検知だ。

異常に基づくマルウェア検知

 異常に基づくマルウェア検知で重要なのは、何を正常な挙動だと見なすかという判断だ。従って、通常のプロファイルからの逸脱を怪しい(異常)と考える。例えば、あるプログラムは通常、実行されたときにファイルを作成しないとする。そして、突然そのプログラムがあるファイルをOSのシステムフォルダに移動したとする。すると、この種類のアンチウイルスソフトウェアは、直ちにこの行動にフラグを立てる。

 異常に基づくマルウェア検知は、さらに2つに分けることができる。

  • 受動的検知。スキャニングによって、プログラムの通常のプロファイルからの逸脱を検知する。
  • 積極的検知。この検知方法では、問題のプログラムをサンドボックスや仮想マシンなどのコントロールされた環境で実行してみる。そして、そのプログラムの挙動を観察する。もしそのプログラムの挙動が特定の条件に一致すれば、怪しいものとしてフラグが立てられる。

 異常に基づくマルウェア検知は良さそうに見えるが、欠点もある。このタイプの検知方法には誤検出がよく起こるということだ。これは、単純に近年のプログラムの複雑さが増しているためだ。さらに、もし攻撃者がマルウェアのコードを真っ当なプログラムのように振る舞うよう気をつければ、そのプログラムが検知されることはない。異常に基づくマルウェア検知を行うソフトウェアの例としては、Threatfire Zero-Day Malware Protectionが挙げられる。

仕様に基づくマルウェア検知

 現在のところ、仕様に基づくマルウェア検知(資料のIV-B)がマルウェアの問題の軽減に対して一番期待の持てる手法だ。これは、あらゆるプログラム(OSもアプリケーションも含めて)のすべての行動を、あらかじめ定められた方針に基づいて仲介するという手法だ。例えば、もしそのように方針を設定すれば、コンピュータの責任者に指定されたウェブサイトからダウンロードされたファイルの実行を禁止することも可能だ。

 仕様に基づくマルウェア検知の利点は、その柔軟性と、異常に基づくマルウェア検知に比べ誤検知が最小限で済むことだ。仕様に基づくマルウェア検知の例としては、NovaShield AntiMalwareが挙げられる。

分かったこと

 私はコンピュータでファイルが隔離された経験はほとんどない。私はほかのことにも気づいた。典型的なアンチウイルスプログラムで保護されていながら感染したコンピュータの多くは、問題のマルウェアを除去するために特別なスキャナーが必要になるということだ。この記事を書いてみて、私はその理由を知ることができた。

最後に

 「後悔するよりは安全側に倒した方がいい」と考えるタイプの私は、今後もアンチウイルスプログラムを使うことを勧めていきたい。ただし、勧めるアンチウイルスプログラムの種類は変えていく。今後は異常に基づくマルウェア検知や仕様に基づくマルウェア検知の仕組みを持っているものを勧めていくことにする。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン登録のお申し込み

「今さら人に聞けないITトピック」 バックナンバー

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. 運用管理

    データベース管理の課題を一挙に解決!効率化と柔軟性を両立する新しいアプローチとは
  2. セキュリティ

    セキュリティに対する意識や対策状況の違いが浮き彫り--日米豪における情報セキュリティの実態を調査
  3. セキュリティ

    マンガで解説!情シスが悩む「Microsoft 365/Copilot」の有効活用に役立つ支援策
  4. セキュリティ

    セキュアな業務環境を実現する新標準「Chrome Enterprise Premium」活用ガイド
  5. ビジネスアプリケーション

    AIエージェントの課題に対応、生成AIの活用を推進するための5つのデータガバナンス戦略
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

カテゴリランキング

  1. ベトナム最大手FPTソフト、日本国内で売り上げトップ20入りへ

  2. 2025年度以降に企業が注力するサイバーセキュリティの重点施策

  3. デルはデータセンター運営事業をやらないのか--同社幹部に聞いてみた

  4. NEC、ヘルスケア領域での「リハビリ×AI技術」などを発表

  5. 日々の業務に追われるIT部門から脱却せよ--IT関連業務の徹底的な自動化

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]