3つのウイルス検出方法
ウイルス検出方法は以下の3種類に分類されます。
振る舞い検知(ビヘイビア法)
検査対象のプログラムを実行し、その振る舞いによってウイルスかどうか判断する方法です。
この方法の特徴は、未知のウイルスにも対応できることです。1つひとつのウイルスの挙動を調べてブロックすべきか判断するため、そのウイルスが既知かどうかは関係ありません。
ただし、ほかの検知方法よりも負荷が大きく、すべての検査対象に使うのは非現実的です。そのため、通常はほかの方法と組み合わせて利用します。
最近では、検出されたウイルスのデータをクラウド上に保存できる仕組みも存在します。このデータがあれば既知のウイルスとして扱えるため、次回から検知しやすくなるのがメリットです。
ヒューリスティック法
ヒューリスティック法は、パターンマッチング法以外のウイルス検知方法の総称です。そのため、振る舞い検知法はヒューリスティック法の1つといえます。既知の脅威にしか対処できないパターンマッチング法の欠点を補う方法として登場しました。
ヒューリスティック法は、検査対象のコードを分析する方法と、振る舞い検知法に大別されます。前者では、既知のウイルスと照合し、それらと似たコードを持つプログラムをウイルスとして検出します。
それでウイルスかどうか分からなかった場合は、振る舞い検知法で最終的な判断を下すのが一般的です。
パターンマッチング法
もっとも一般的なウイルス検知方法です。検査対象をパターンファイルと呼ばれる既出ウイルスのリストと照合し、当てはまるものがあればブロックします。
この方法の長所は、判断基準が明確なため誤検知が発生しないことです。パターンファイルに該当のものがあればブロックし、そうでなければ対処しません。
ただし、未知のリスクには一切対処できません。新規のウイルスが誕生してから、それがパターンファイルに反映されるまでは、そのウイルスに対して無防備になります。世界中で日々新しいウイルスが作られているため、これではセキュリティとして不安が残ります。
そのため、振る舞い検知法を含めたヒューリスティック法と組み合わせて利用するのが一般的です。
振る舞い検知の弱点
振る舞い検知には以下の弱点があります。
- 誤検知の可能性がある
- 振る舞い検知はプログラムの実際の挙動を見て、それが不審と判断すればブロックします。しかし、その判断基準はパターンマッチング法ほど明確ではなく、誤検知のリスクがあります。
- 負荷が大きい
- 実際にプログラムを実行させる必要がある分、CPUやメモリの負荷が大きくなります。
- コストが高い
- プログラムを実行するには、それがウイルスであっても被害が出ない仮想環境を用意しなければなりません。充分な環境を整えるには高いコストが必要になります。
- 対処できないウイルスがある
- 特定の時刻にしかウイルスとしての挙動をしないものなど、振る舞い検知では対処できないウイルスも存在します。
今求められるウイルス対策
今、どのようなウイルス対策が求められているのでしょうか。
振る舞い検知+パターンマッチング
振る舞い検知とパターンマッチング法は互いに補い合う存在です。パターンマッチング法で既知のウイルスを検出し、そこから漏れたものを振る舞い検知で検査します。こうすることで、最小限の負荷で適切なウイルス検知が実現するでしょう。
実際に世界中で使われているウイルスの大部分は、既知のものだといわれています。そのため、ほとんどの脅威はパターンマッチング法で対処可能です。振る舞い検知は優れていますが、単体で用いるものではないと認識しておきましょう。
レピュテーション技術の活用
レピュテーション技術とは、検査対象のファイルやWebサイトの評判を調べ、それを検知の判断材料にすることです。
振る舞い検知では、実際の挙動を確認した後、それを正確にウイルスとして検出できるかどうかが鍵となります。そして、その精度を高めるために用いられるのがレピュテーション技術です。
検査対象についての評判はクラウド上に蓄積されます。それを判断材料にすることで、振る舞い検知の誤検知率低下が期待できます。
AI技術の活用
近年、セキュリティソフトにはAIを活用した機械学習が取り入れられつつあります。
セキュリティソフトの役割は、検査対象がウイルスかどうかを判断し、分類することです。そして、この作業はAIの得意分野です。学習が進めば、より素早く正確にウイルスを検知できるようになるでしょう。
ただし、機械学習は大量のウイルスサンプルを基に行われます。今後AIが適切にウイルスを見分けられるかどうかは、いかに多くのデータを集められるかにかかっているといえます。
振る舞い検知の特徴を理解してソフトの導入を検討しよう!
ウイルス検知方法は以下の3つに分類されます。
- ■振る舞い検知
- ■ヒューリスティック法
- ■パターンマッチング法
振る舞い検知は未知の脅威にも対応できます。しかし、万能ではないため、以下のような対策も求められています。
- ■振る舞い検知とパターンマッチング法の併用
- ■レピュテーション技術の活用
- ■AIの活用
ウイルス検知方法への理解を深め、対策ソフトの導入を検討しましょう。