マルウェアの検知
マルウェア検知の手法は2つに分かれる。シグネチャに基づくマルウェア検知と、挙動に基づくマルウェア検知だ。アンチウイルスアプリケーションは、プログラムの洗練度によってその一方、あるいは両方の手法を利用する。シグネチャに基づくマルウェア検知はかなり古くからあるため、まずはこちらについて見てみよう。
シグネチャに基づくマルウェア検知
シグネチャに基づくマルウェア検知は、パターン認識に依存している。その動作原理はこうだ。アンチウイルスアプリケーションは、問題になっているファイルをスキャンし、コードの特定のバイトをマルウェアのシグネチャデータベースと比較する。もしスキャンされたファイルのパターンが、データベースにあるものと一致すれば、そのファイルはマルウェアであると見なされる。その場合アンチウイルスアプリケーションは、プログラムの設定次第で、そのファイルを隔離または削除する。
欠点
現在、シグネチャに基づくマルウェア検知はほとんどすべてのアンチウイルスプログラムに含まれている。しかし、アンチウイルス企業は次のような理由からシグネチャに基づくマルウェア検知から脱皮しようとしている。
- シグネチャに基づくマルウェア検知の手法は、新たなマルウェアや未知のマルウェアには効果がない。
- 新たなマルウェアは日々作り出されており、シグネチャデータベースはかなり頻繁に更新される必要がある。
これらは妥当な懸念であり、このためアンチウイルス企業は、多くの時間と手間を挙動に基づくマルウェア検知に投資している。
挙動に基づくマルウェア検知
挙動に基づくマルウェア検知は、ソフトウェアの作りではなく、プログラムがどのように動作するかをモニターするというものだ。もし普通ではない挙動が検知されると、もしそのソフトウェアが正しいものに見えても、そのプログラムにはフラグが立てられる。挙動に基づくマルウェア検知には、2つのタイプがある。異常に基づくマルウェア検知と、仕様に基づくマルウェア検知だ。
異常に基づくマルウェア検知
異常に基づくマルウェア検知で重要なのは、何を正常な挙動だと見なすかという判断だ。従って、通常のプロファイルからの逸脱を怪しい(異常)と考える。例えば、あるプログラムは通常、実行されたときにファイルを作成しないとする。そして、突然そのプログラムがあるファイルをOSのシステムフォルダに移動したとする。すると、この種類のアンチウイルスソフトウェアは、直ちにこの行動にフラグを立てる。
異常に基づくマルウェア検知は、さらに2つに分けることができる。
- 受動的検知。スキャニングによって、プログラムの通常のプロファイルからの逸脱を検知する。
- 積極的検知。この検知方法では、問題のプログラムをサンドボックスや仮想マシンなどのコントロールされた環境で実行してみる。そして、そのプログラムの挙動を観察する。もしそのプログラムの挙動が特定の条件に一致すれば、怪しいものとしてフラグが立てられる。
異常に基づくマルウェア検知は良さそうに見えるが、欠点もある。このタイプの検知方法には誤検出がよく起こるということだ。これは、単純に近年のプログラムの複雑さが増しているためだ。さらに、もし攻撃者がマルウェアのコードを真っ当なプログラムのように振る舞うよう気をつければ、そのプログラムが検知されることはない。異常に基づくマルウェア検知を行うソフトウェアの例としては、Threatfire Zero-Day Malware Protectionが挙げられる。
仕様に基づくマルウェア検知
現在のところ、仕様に基づくマルウェア検知(資料のIV-B)がマルウェアの問題の軽減に対して一番期待の持てる手法だ。これは、あらゆるプログラム(OSもアプリケーションも含めて)のすべての行動を、あらかじめ定められた方針に基づいて仲介するという手法だ。例えば、もしそのように方針を設定すれば、コンピュータの責任者に指定されたウェブサイトからダウンロードされたファイルの実行を禁止することも可能だ。
仕様に基づくマルウェア検知の利点は、その柔軟性と、異常に基づくマルウェア検知に比べ誤検知が最小限で済むことだ。仕様に基づくマルウェア検知の例としては、NovaShield AntiMalwareが挙げられる。
分かったこと
私はコンピュータでファイルが隔離された経験はほとんどない。私はほかのことにも気づいた。典型的なアンチウイルスプログラムで保護されていながら感染したコンピュータの多くは、問題のマルウェアを除去するために特別なスキャナーが必要になるということだ。この記事を書いてみて、私はその理由を知ることができた。
最後に
「後悔するよりは安全側に倒した方がいい」と考えるタイプの私は、今後もアンチウイルスプログラムを使うことを勧めていきたい。ただし、勧めるアンチウイルスプログラムの種類は変えていく。今後は異常に基づくマルウェア検知や仕様に基づくマルウェア検知の仕組みを持っているものを勧めていくことにする。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ