このページの本文へ

マルウェア対策 ここだけの話し『ウイルス対策ソフトは ここまで進化している!』 ~ウイルス対策製品の選定ポイントとESETの最新テクノロジー~ トピックス・イベントレポート

キヤノンITソリューションズ
プロダクト企画部 エンドポイント企画課
高澤克郎氏

現在、インターネット上にはさまざまなサイバーセキュリティの脅威が存在しており、もはやウイルス対策ソフトだけではすべての脅威を網羅できません。高澤氏は、そうした前提に立った上で、ウイルス対策=エンドポイントセキュリティがどれだけ有効な手段になり得るかについて語りました。

ウイルス対策ソフトはどれも同じ?

ウイルス対策ソフト≒ミネラルウォーター

現在、ウイルス対策ソフトはさまざまなベンダーから発売されています。そして、その多くが「検出率ナンバーワン」「顧客満足度ナンバーワン」など、それぞれ評価の高さを謳っていますが、違いがいまひとつわかりません。

そんな状況を踏まえて、高澤氏は「ウイルス対策ソフトはミネラルウォーターのようなもの」、つまり製品ごとの違いはあるものの、その違いはわかりにくいものです。その一方で、ウイルス対策ソフトは「必要不可欠なものである」と表現しています。

ウイルス検出方法の歴史

初期のウイルス検出方法

初期のウイルス対策ソフトでは、ベンダーが配信するウイルス定義データベースを用いてウイルスを検出していました。この方法では、データベースに登録していないウイルスが検出できないため、各ベンダーはウイルス定義データベースをいかに早く配信するかを競っており、ウイルス定義データベースの配信が多いソフトが、より高く評価されていた時代です。

この検出方法の場合、ウイルス定義データベースの配信が多すぎて、パソコンのパフォーマンスが低下するとともに、新種・亜種ウイルスへの対応が難しいという欠点がありました。

現在主流のウイルス検出方法

最新のウイルス対策ソフトでも、その多くでウイルス定義データベースを用いた検出方法を引き続き採用しています。ただし、データベースに登録されていないウイルスが混入した場合は、「サンドボックス」と呼ばれる仮想領域にウイルスを隔離して、ウイルスのような「ふるまい」をしているかどうかを確認することで、新種・亜種ウイルスを検出可能です。

「ESETシリーズ」では、サンドボックスにおいて「ふるまい」を確認してウイルスかどうかを判断する機能を「ヒューリスティック機能」と呼んでおり、遺伝子工学の技術が利用されています。

ウイルス定義データベース+サンドボックスでの「ふるまい」の確認による検出方法を採用するウイルス対策ソフトの場合は、使用時にパソコンの動作が重くならず、新種・亜種ウイルスの検出可能なソフトが高い評価を得ていました。

ただし、この検出方法では、近年増加している難読化・暗号化されたウイルスの検出は困難です。

「次世代」ウイルス対策ソフトの検出方法

「次世代」を名乗るウイルス対策ソフトの中には、ウイルス定義データベースを使用しないものもあります。「ウイルスと思われるファイル」「ウイルス」「安全なファイル」の膨大なデータをもとに、AIがウイルスかどうかを判定する検出方法です。

この検出方法では、ウイルス定義データベースを使用しないため、ネットワークに負荷がかからず、AIによって未知のウイルスにも対応できます。

一方で、この検出方法には誤検出が多く、学習したことがないものは検出できないのが欠点です。

高澤氏は、ウイルス検出方法の歴史を振り返り、「現状では、完璧な検出方法は存在しない」と総括しました。

「ESETシリーズ」の検出方法

LiveGridによる情報収集と警告

「ESETシリーズ」の特徴は「多層防御」です。具体的には、先に述べた「ヒューリスティック機能」と、AIによるマシンラーニング(機械学習)を取り入れたハイブリッドの検出方法によって、どのフェーズでも段階的な防御が可能になっています。

そんな「ESETシリーズ」の多層防御を支えているのが、早期警告システムである「LiveGrid(ライブグリッド)」です。LiveGridには、世界中の「ESET」ユーザーから、リアルタイムで不審なオブジェクトやメタデータが送信され、そのデータをAIが分析し、不審なものはユーザーに対して警告を行います。また、ユーザーがウイルスそのものを「検体」としてLiveGridに送ることも可能です。

ESET社では、LiveGridによる情報収集に加えて、マルウェア情報の収集も行っており、これらの情報を技術者が解析して手動でシグニチャ(ウイルス定義データベース)を作成するとともに、LiveGridからの情報に基づき、AIが最短20分で「DNAシグニチャ」を生成し、その両方をユーザーに送信します。

「ESETシリーズ」の検出方法

Webサイトの閲覧時は、LiveGridからの情報を元に、フィッシングサイトや不正なサイトを警告してブロックすることが可能です。

一方、マルウェアと思しきデータがパソコンに侵入した場合は、シグニチャに登録されているものはシグニチャで検出し、シグニチャに登録されていない場合は、ヒューリスティック機能によってサンドボックス内で解析を行います。

この方法なら、新種や亜種といった未知のマルウェアにも対応できますが、パソコンに侵入する段階ではその正体を偽装されている、難読化・暗号化されたマルウェアは検出できません。

アドバンストメモリースキャナー

前述のように、ヒューリスティック機能とマシンラーニングによる検出方法では、難読化・暗号化マルウェアの侵入を許してしまいます。ただし、難読化・暗号化マルウェアは、侵入しただけなら危険性はありません。パソコンに侵入した難読化・暗号化マルウェアが、マルウェアとして活動するには、メモリ上で展開される必要があります。

「ESETシリーズ」なら、「アドバンストメモリースキャナー」が常にメモリ上を監視しているので、展開されたマルウェアをDNAシグニチャによって検出することが可能です。

さらに、検出された難読化・暗号化マルウェアの情報はリアルタイムにLiveGridへ送信され、その情報を元にマシンラーニングによって最短20分で新たなDNAシグニチャが生成・配信されるので、以降その難読化・暗号化マルウェアは、パソコンに侵入する前に検出できるようになります。

その他の検出機能

「ESETシリーズ」には、ここまで述べてきたようなウイルス対策機能に加えて、C&Cサーバとの通信を監視・遮断することで、ボットの感染拡大や情報漏えいを防ぐ「ボットネットプロテクション」、ファイル共有やプリンタ共有などネットワーク機能の脆弱性を狙った攻撃を防ぐ「ネットワークアタックプロテクション」、アプリケーションの脆弱性を狙った攻撃を防ぐ「エクスプロイトアタッカー」、システムレジストリなどの書き換えを防ぐ「HIPS(ホスト型侵入防止システム)」といった検出機能を搭載しているので、マルウェアだけでなくさまざまなサイバーセキュリティ脅威への対応が可能です。

「ESETシリーズ」のラインアップ

「ESETシリーズ」は、エンドポイントセキュリティ向けの製品と、ゲートウェイセキュリティ向けの製品が用意されています。

さらに、オプション製品として、クラウドに対応したクライアント管理ツールなども利用可能です。

ウイルス対策ソフトの選定ポイント

高澤氏は、ここまで述べてきたことを踏まえて、ウイルス対策ソフトの選定ポイントとして、以下の3点を示しました。

  1. メモリ内領域の監視ができる
  2. 誤検出が少ない
  3. 多層防御に対応している

さらに、これらの要件を満たしつつ、パソコンへの負荷が少ない製品が望ましいといえるでしょう。

セキュリティに関するお問い合わせ