「振る舞い検知」という仕組みを使ったセキュリティをご存知ですか?「既知のマルウェア」を見つけるアンチウイルスソフトが主流だった中、マルウェアの種類と量が飛躍的に増え、被害が増大したため、これまで見たことのないマルウェアを検出できる「振る舞い検知」というセキュリティの仕組みが生まれました。この記事では聞いたことはあるけれど…という「振る舞い検知」について説明します。
振る舞い検知とは
振る舞い検知とは、ウイルス対策ソフトがマルウェアを検出する仕組みの一つで、その挙動から悪意のあるプログラムを識別して検出する方法です。挙動を判断材料にするため、未知のマルウェアでも検出することが可能です。
現在、マルウェアの種類、量は急激に増えており、従来の方法では検出できないものも多くなってきました。そのため、未知のマルウェアも検出できる「振る舞い検知」は非常に有効な手段になると考えられます。
振る舞い検知ではマルウェアをどうやって検出するのか
マルウェアは「悪意のあるプログラム」の総称で、これまでコンピュータウイルスと呼ばれていたものと基本的に同じです。マルウェアは、その動作や挙動に一定の特長があります。これらの特長を利用してマルウェアを発見する手法が「振る舞い検知」です。つまり「マルウェアらしい動きをするもの」=「マルウェアである」と判断して、検出する仕組みになります。
通常のプログラムとは異なる、マルウェアらしい挙動としては、次のようなものが挙げられます。
- 自分自身をコピーして増殖する
- 重要なファイルを置き換える/削除する/コピーする
- 挙動が目立たない
従来の検出方法とは
従来のウイルス検出方法は、パターンマッチング方式といわれる手法を使っています。パターンマッチング方式とは、「新たにインストールされたプログラム」を「既知のマルウェアをもとにしたデータベース」と比較し、一致したものをマルウェアとして検出する方法です。データベースは、定義ファイル、ライブラリ、パターンファイルと呼ばれる場合もあります。パターンマッチング方式でマルウェアを検出するには、最新かつ膨大なデータベースが必要になります。
既知のマルウェアであれば、「振る舞い検知」より「パターンマッチング方式」の方が速く検出できます。しかし、「未知のマルウェア」を検出することはできません。そのため、「振る舞い検知」が必要になります。
振る舞い検知とパターンマッチング方式の違い
- 振る舞い検知
・新種のマルウェアも検出できる
・「マルウェアの可能性が高いもの」を検出するため、誤検出の可能性がある - パターンマッチング方式
・データベースを利用するため、誤検出が起こりにくい
・「未知のマルウェア」は検出できない
・データベースの容量、処理の負担が次第に増えていく
振る舞い検知によるウイルスの検出方式
振る舞い検知にも、いくつかの種類があります。
ヒューリスティック法
パターンマッチング以外の検出方法の総称です。振る舞い検知と呼ばれることもあり、大きく分けて次の 2 つに分類できます。
- 静的ヒューリスティック法(狭義のヒューリスティック法)
- 動的ヒューリスティック法(ビヘイビア法)
静的ヒューリスティック法
プログラムを動作させずに、プログラムの中身(コード)を見るだけで検出する方法です。コードの特長を既知のマルウェアと比較し、「どのように動くのか?」を予測してマルウェアを検出します。プログラムを動作させないため「静的」と呼ばれます。静的ヒューリスティック法のみを「ヒューリスティック法」と呼ぶケースもあります。
動的ヒューリスティック法(ビヘイビア法)
マルウェアと思われるプログラムを実際に動作させて、挙動を調べる方法です。プログラムを実際に動作させるため「動的」と呼ばれています。ビヘイビア法のみを指して「振る舞い検知」と呼ぶケースもあります。
| ヒューリスティック法 (広義の振る舞い検知) |
静的ヒューリスティック法 (狭義のヒューリスティック法) |
|---|---|
| ビヘイビア法 (動的ヒューリスティック法、狭義の振る舞い検知) |
「静的ヒューリスティック法」と「動的ヒューリスティック法」の併用
「静的ヒューリスティック法」と「動的ヒューリスティック法」は併用するのが一般的です。怪しいプログラムをすべて動作させると、処理の負担が大きくなるためです。
最初に「静的ヒューリスティック法」でプログラムを判定し、その安全性を確認できなかった場合のみ、プログラムを動作させて「動的ヒューリスティック法」で判定します。このようにすることで、負担を下げながら検出確率を上げることが可能です。
振る舞い検知のメリット・デメリット
振る舞い検知のメリット
- 未知のマルウェアに対応できる
新しいマルウェアだけでなく、既存のマルウェアの変種・亜種にも容易に対応できます。 - データベースが必要ない
データベースを使わないため、データベースをこまめに更新する必要はありません。
振る舞い検知のデメリット
- 誤検出の可能性がある
振る舞い検知が見ているのはプログラムの挙動だけなので、正常なプログラムをマルウェアと判断してしまうケースもあります。 - 負荷が大きい
動的ヒューリスティック法は実際にプログラムを動作させる必要があるため、処理の負荷が大きくなります。 - 検出できないマルウェアもある
潜伏期間の長いマルウェアなど、すぐに検知できないものは見逃されてしまう可能性があります。
現在のセキュリティのトレンド
最近では、次のような方法を使って「振る舞い検知」や「パターンマッチング」を補い、より高いセキュリティを実現するケースが増えてきています。
「振る舞い検知」と「パターンマッチング方式」の併用
「振る舞い検知」と「パターンマッチング方式」は、互いのデメリットを補完できます。これら 2 つの方式を併用することで、より効果を上げることが可能です。この場合は、既知のマルウェアを「パターンマッチング方式」で防ぎ、残りのプログラムを「振る舞い検知」で判断します。こうすることで、プログラムのコードを見たり、実際に稼働させたりするプログラムを最小限にし、システムへの負荷を減らすことができます。
レピュテーション技術の併用
レピュテーション技術とは、判断の対象となるプログラムや Web サイトの評判を調べ、マルウェアであるかどうかを判断するための材料にする手法です。プログラムや Web サイトに対する評判(口コミ)を集めたデータベースを充実させることで、より精度の高い判断が可能になります。
ホワイトリスト方式でのフィルタリング
「安全なプログラムや Web サイト」を定義し、それ以外を使わせない方法でセキュリティを確保します。「危険なプログラムや Web サイト」を定義するブラックリスト方式よりも強いセキュリティを実現できます。ただし、新しいプログラムや Web サイトを使うときは、事前に検証と承認作業が必要です。
AI や機械学習の活用
AI や機械学習を活用することで「振る舞い検知」や「パターンマッチング方式」を高速化し、検出用データベースを充実させたり、検出漏れをなくしたりすることが可能です。特に「振る舞い検知」による検出は、機械学習の得意分野です。
セキュリティについては、次の記事も参考にしてください。
「ネットワークシステムの在り方を見直す!ゼロトラスト時代の到来とそのセキュリティソリューション」
まとめ:振る舞い検知を導入すると、セキュリティをより高められる
これまで「未知のマルウェア」を検出することは不可能でした。「既知のマルウェア」としてライブラリに登録されて初めて、検出可能になっていたからです。近年は、「振る舞い検知」の登場により、未知のマルウェアも検出可能になり、セキュリティをより高められるようになりました。
Web サービスや Web サイトを運営する企業は、セキュリティに関して常に最新の技術を取り入れていく必要があります。これからは「パターンマッチング方式」と「振る舞い検知」の併用が基本になっていくでしょう。
Web サービスや IT システムを自社だけで安全に運用することに不安がある場合は、セキュリティに関するソリューションを利用するという方法もあります。 CTC エスピー株式会社では、リモートアクセスに関するさまざまなソリューションを提供しています。たとえば、振る舞い検知を実現する「 Flowmon 」 「ISM CloudOne」 などです。安全な IT の運用に不安がある場合は、ぜひご相談ください。
