セキュリティソフトのウイルス検出方法と選び方

Uhiyamabumi
securitySoft

社会のデジタル化が進み、今では様々な手続きをオンライン上で行うことができます。

個人が複数のデバイスを所持する今日、インターネットは私達の生活に定着し、浸透を続けています。大勢の人が利便性の向上を喜ぶ中、それを別の意味で喜ぶ人がいます。攻撃者(クラッカー)です。デジタル化の拡大は彼らの行動範囲の拡大と同義なのです。

様々な攻撃やウイルスが、私達の身近に迫っています。そのような脅威から、あなたの大切な情報を守るために、どのようなことができるでしょうか。

目次
1.セキュリティソフトのウイルス検出方法
2.より良いセキュリティを実現するために

セキュリティソフトのウイルス検出方法
セキュリティ対策の第一歩
ウイルスセキュリティソフトは、感染チェックや脅威の隔離・除去をしてくれるソフトウェアです。日本国内では、ウイルスバスターやノートンなどが有名ですよね。そのほかにも様々な商品がありますが、これらは大抵安価に購入することができ、導入も非常に簡単です。大切な情報を守るための意味ある投資といえます。

ウイルス発見方法
ところで、セキュリティソフトはどのようにウイルスを発見しているのでしょうか。ソフトウェアが自分で考えて『悪い』と思うデータを削除しているわけではありません。彼らはただ、『パターンファイル』と呼ばれるウイルスのリストと対象データとを比較しているだけなのです。リストと同じなら、そのデータは『脅威』である。非常に単純な仕組みです。しかしウイルスの中には、微妙に形を変えてこのチェックを回避するものがあります。これらは「ヒューリスティック法」や「ビヘイビア法」を用いて別途発見します。正確にコンピュータの情報を把握することで、その安全性をはじめて確立させることができるのです。

パターンファイル
パターンファイルは、いわばウイルスの指名手配リストです。
セキュリティソフトは、このウイルスの特徴を記述したデータベースと、対象データとを比較してウイルスを検知します。これと一致(パターンマッチング)したら、その対象データはウイルスと判定されるわけです。
一致しないウイルスは、ウイルス判定を逃れる
問題はパターンファイルと”一致”しなければ、ウイルスと判定されないことです。

例えば、あるウイルスがパターンファイルに登録されていたとして、それを改造した亜種ウイルスはウイルスと判定されません。これは改造の過程でビット列が変更されたためです。またパターンファイルに登録されていない未知のウイルスについても、同様にウイルスと判定することができません。パターンファイルで多種多様なウイルスを”一致”で補足するのは困難なのです。

しかしだからといってウイルスを検出できなければ、セキュリティの意味がありません。これらの検出のために「ヒューリスティック法」と「ビヘイビア法」が用いられます。個別に説明しましょう。

ヒューリスティック法(Heuristic method)
「ウイルスが行いそうな処理」を予め登録しておき、検査対象コードにそれが含まれていないか調べる方式です。

パターンマッチングを回避したとしても、ウイルスが悪事をすることに違いはありません。ヒューリスティック法では、この悪事を判定基準とすることで、表面的なパターンマッチングでは検出できない未知のウイルスや亜種ウイルスを検知することが可能です。

ビヘイビア法(Behavior method)
実際にプログラムを動作させ、その振る舞いに怪しい点がないか調べる方式です。ビヘイビア(Behavior)の意味は「振る舞い、態度、行動」なので想像し易いですね。

ヒューリスティック法の発展型であり、安全な環境下で実際にコードを実行することで、隠れた危険性を発見します。仮想的な実行環境で実行する場合と、実際の環境で実行し、異常を観測したら停止する方式などがあります。静的ヒューリスティック法では検出できない、暗号化などステルス技術を使ったウイルスを検出できます。

より良いセキュリティを実現するために
古い手配書(パターンファイル)は役に立たない
大前提として、パターンファイルを常に最新状態にすることが重要です。セキュリティソフトは、頻繁にこのパターンファイルを更新しています。最新の亜種ウイルスや未知のウイルスを捕捉するためです。私たちは喫緊の脅威からこそコンピュータを守りたいわけですが、最新版でないセキュリティソフトは、この脅威を検知できません。

パターンマッチングの限界とヒューリスティック法の必要性
しかしながら、これまでの説明を読むと、パターンファイルでの検出には限界があることが理解できます。今日の膨大な量のマルウェアをパターンファイル化するには時間が必要ですし、定義データベースは巨大化する一方です。より多くの脅威を除去するためには、優れたヒューリスティックおよびビヘイビア検知機能が不可欠です。一般にウイルス検出率の低いソフトは、パターンマッチングによる検出を主とし、ヒューリスティック検知が必要な亜種ウイルスや未知のウイルスには弱い特徴があります。セキュリティソフトにも質があり、ただ導入すれば良いというものではないのです(企業なら特に)。

もしソフトの見直しを検討しているのなら、第三者機関による評価のうち、ヒューリスティック検知の項目に注目するようにしましょう。試しに有名な評価機関であるAnti-Virus Comparativeの最近の評価表を見てみましょう。

(画像)Anti-Virus Comparative Heuristic and behavioural protection 2015 March 優れたヒューリスティックを有すということは、亜種ウイルスや未知のウイルスに強いソフトウェアであることを示します。上記の結果では、下記のソフトなどが優れたスコアを記録しています。

  • Bitdefender
  • F-Secure
  • eScan
  • Kaspersky Lab
  • BullGuard
  • ESET
もちろん、セキュリティソフトを導入する際は、費用や動作環境の確認を忘れずに。