NGAV(次世代型アンチウイルス)の一機能である、「振る舞い検知」について、その仕組、利用することによるメリット・デメリットについて解説します。
振る舞い検知とは?
「振る舞い検知」とは、「不審な動きをしている」といった正常なプログラムには見られないウィルス特有の動きを見つけ出すことで、ウイルスを検知するという機能で、主に「NGAV(Next Generation Anti-Virus)」と呼ばれる次世代型アンチウィルスのソフトウェア使用されています。
この機能を利用することで、従来のパターンマッチングでは抽出できなかった未知のウィルスにも対応できるようになると期待されています。
振る舞い検知では「ヒューリスティック(静的ヒューリスティック)」と「ビヘイビア(動的ヒューリスティック)」という手法が主に利用されています。
振る舞い検知の仕組み
振る舞い検知の仕組みは大きく2種類あります。
- ヒューリスティック(静的ヒューリスティック)
- ビヘイビア(動的ヒューリスティック)
ヒューリスティック(静的ヒューリスティック)
ウィルスの挙動には一定の特徴があると言われており、この特徴(挙動)をあらかじめ登録しておき、マルウェアのコードと、読み取ったプログラムのコードを比較して、その特徴(挙動)が合致したプログラムが見つかった場合、危険なものと判断する方法になります。
ビヘイビア(動的ヒューリスティック)
調査対象となるプログラムを実際に実行し、その振る舞い(ビヘイビア)を見て、危険なものかそうでないかを判断する検知手法になります。
振る舞い検知のメリットとデメリット
振る舞い検知のメリット
振る舞い検知のメリットは大きく2つあります。
- 未知のマルウェアを検出できる
- パターン検出データベースのアップデート作業を省けるようになる
未知のマルウェアも検出できる
それまでの主流であったパターンマッチングでは、すでに知られているマルウェアしか検出できず、パターンから外れる亜種・変異種等に対応できませんでした。
しかし、「振る舞い検知」については、ビヘイビア(動的ヒューリスティック)などの仕組みを利用することで、未知のマルウェアにも対抗できるようになります。
その結果、新しいマルウェアと検出技術の「いたちごっこ」をある程度緩和することができると考えられます。
パターン検出データベースのアップデート作業を省けるようになる
振る舞い検知を行うことにより、新しいマルウェアのパターンを検出ソフトウェアのデータベースにアップロードする手間が省けるようになります。また、パターンを更新しなかったことにより検出漏れが生じることもなくなります。
振る舞い検知のデメリット
振る舞い検知のデメリットは大きく2つあります。
- マルウェアの誤検出が多い
- システム負荷が高い
マルウェアの誤検出が多い
不正と疑われるプログラムが動いていた場合、検知することになるため、従来型のアンチウィルスと比較して、アラート頻度が高くなり、誤検知ならびにアラートが増加する可能性があります。
システム負荷が高い
検知数が多くなるため、ソフトウェアを稼働させるマシンの処理スピードが遅くなる恐れがあります。
セキュリティ対策は総合的な視点が必要
振る舞い検知にもメリットがある一方でデメリットもある為、唯一万能の手段とまでは言えません。
なので、企業におけるセキュリティ対策は、エンドポイントでのマルウェアの水際でのブロック、VPNなどの安全な通信の確保、あるいはIPS/IDSなどによりマルウェアの侵入経路のブロックなど、いくつかの技術を組み合わせてセキュリティ対策することが重要となります。
まとめ
振る舞い検知は、未知のマルウェアを検出可能にするため、進化するサイバー攻撃の有力な対抗策になると考えられます。
ただし、一方で振る舞い検知は万能ば手段ではないため、他のマルウェア検知の仕組みを組み合わせて利用することで精度を上げることが必要です。これを機にセキュリティ対策について見直してみてはいかがでしょうか?
最後に
セキュリティに関する記事や、情シスのキャビジネススキルに関する記事もありますので、ご興味あればご参照ください。
セキュリティ関連記事
https://digital-jyoshisu.com/archives/category/セキュリティ
キャリア関連記事
https://digital-jyoshisu.com/archives/category/キャリア
