Written by WizLANSCOPE編集部
目 次
振る舞い検知とは、主にアンチウイルスソフトに導入される、「プログラムの挙動」を基にマルウェア(=ウイルスなど悪意のあるソフトウェアの総称)を検知する、セキュリティの仕組みの一つです。
PCやモバイル端末がマルウェアに感染すると、データの破壊や情報漏洩、システムの乗っ取りなどの被害に繋がるリスクがあります。そのマルウェアを侵入前に検知しブロックするのが、振る舞い検知を備えたアンチウイルス製品の役割です。
振る舞い検知は、従来のアンチウイルスソフトでは検知することが難しかった、未知のマルウェアに対し有効なセキュリティとして期待されています。ただし、昨今ではサイバー攻撃の精度が高まったことで、振る舞い検知では対策しきれないマルウェアが登場していることも事実です。
この記事では、振る舞い検知の特徴をはじめ、メリット・デメリットなどについて解説していきます。
▼この記事を要約すると
- 振る舞い検知とは、不審な動き(=振る舞い)を見つけ出し、マルウェアを判断して検知するアンチウイルスソフトの機能
- 従来のアンチウイルスソフトは、過去に検知されたことがある既知のマルウェアのみに有効な「パターンマッチング方式」を用いていたが、新種のマルウェアに対抗できない背景から「振る舞い検知」が注目されている
- 振る舞い検知には、プログラムの中身(コード)を読み取ってマルウェアを検出する「静的ヒューリスティック法」と、実際にプログラムを実行させ、その挙動から検出する「動的ヒューリスティック法」の2種類がある
- 振る舞い検知を備えた製品は、パターンファイルの更新が不要・リアルタイム検知(時差のない検知)が可能などのメリットがある
- 一方で、誤検知が多い・システム負荷が高い・検知できないマルウェアも存在するなどのデメリットもあるため、振る舞い検知のみに頼らないエンドポイントセキュリティが必要
「振る舞い検知」とは?
振る舞い検知とは、主にアンチウイルスソフトに用いられる「マルウェアを検知する仕組み」の一つです。不審な動き(=振る舞い)を見つけ出し、PCやモバイル端末へ侵入を試みるマルウェアを、侵入前に検知・ブロックする機能を指します。
※マルウェアとは…悪意のある不正なプログラムの総称。ウイルスもマルウェアの一種。感染すると端末が正常に動作しない・機密情報が盗まれる・改ざんされるといった被害リスクがある。
従来のアンチウイルスソフトは、過去に検知されたことがある既知のマルウェアのみに有効な「パターンマッチング方式」を用いてマルウェアの検知を行っていました。
しかし、世界中で日々新しい種類のマルウェアが作り出されている昨今、パターンマッチング方式だけでは未知の脅威に対策することは困難です。未知のマルウェアに対抗できるセキュリティとして、振る舞い検知の技術が開発されました。
「振る舞い検知」は主にNGAV(次世代型アンチウイルス)に用いられるセキュリティ製品
「振る舞い検知」は、マルウェアの侵入からエンドポイントを防ぐ「アンチウイルス」で主に用いられる機能です。
※場合によっては、以下の製品に備わる「挙動からマルウェアを検知する機能」を振る舞い検知とするケースもあります。
- ネットワーク監視ツール(NDR、IDS/IPSなど)
- SIEM/UBAN
アンチウイルス(ウイルス対策ソフト)とは、専用のソフトウェアをエンドポイントにインストールすることで使用可能なセキュリティ製品です。PCやスマートフォンといった、ネットワークに接続される末端の機器(エンドポイント)に侵入しようとするマルウェアを、リアルタイムで検知します
エンドポイントの例として、PCやモバイル端末・サーバー・VPN機器などがあげられます。
取り分けアンチウイルスの中でも、振る舞い検知の機能を備える最新のセキュリティソリューションは、従来製品との比較で、しばしば「NGAV(次世代型アンチウイルス)」と呼ばれています。
「LANSCOPEサイバープロテクション」では、AI機械学習に振る舞い検知の機能も使用し、未知のマルウェアに対策できる「NGAV(次世代型アンチウイルス)」を提供しています。
振る舞い検知による、マルウェア検知の「仕組み」
「振る舞い検知」は
・「静的ヒューリスティック法」
・「動的ヒューリスティック法」
の主に2つの検知方法に分類されます。
| 「静的ヒューリスティック方式」 |
|---|
|
・プログラムを実行させず、プログラムの中身(コード)を読み取ることで、マルウェアを検出する方法 ・読み取ったコードの特徴を既知のマルウェアと比較し、動作を予測することで、そのプログラムが脅威であるかを判断する ・プログラムを実行させない特徴から、「静的」と呼ばれる |
| 「動的ヒューリスティック方式」 |
|---|
|
・実際にプログラムを実行させて、その挙動からマルウェアを検出する方法 ・そのままプログラムを実行するのは感染リスクがあるので、サンドボックスと呼ばれる安全な仮想環境の中で、対象のプログラムを実行させる製品もある ・マルウェアが疑われるプログラムを、実際に動かして検知することから「動的」と呼ばれる |
「静的ヒューリスティック方式」と「動的ヒューリスティック方式」は、単体で用いられるケースもあれば、両者を組み合わせる製品もあります。
「両者を組み合わせる流れ」は以下の通りです。
- まず「静的ヒューリスティック方式」にて「不審なプログラム」を選別
- 怪しいがどうしてもマルウェアと断定できないファイルのみ、「動的ヒューリスティック方式」を実施<
- 実際にプログラムを実行させることで、怪しい挙動を選別
「動的ヒューリスティック方式」は実際にプログラムを動かす特性上、CPUやメモリへの負荷がかなり大きくなる点がデメリットです。
そのため、「静的ヒューリスティック方式」で安全性が確認できなかったプログラムのみを「動的ヒューリスティック方式」で確認するなど「補完的」な役割を担うのが一般的です。
振る舞い検知のセキュリティ製品が「注目される背景」
セキュリティソリューションにおいて「振る舞い検知」が注目されている背景には、従来のアンチウイルスソフトでは昨今の高度化するサイバー攻撃に対抗できないことが挙げられます。
従来のアンチウイルスソフトは、過去に検出されたことがあるマルウェアの情報をパターンファイル化して、システム上のプログラムにパターンファイルと同じものがないか比較する「パターンマッチング方式」でマルウェアを検出してきました。
しかしこの方法では、パターンファイルに無い、まだ検出されたことのない新種のマルウェアには対応できない、という欠点があります。
マルウェアは日々新たなものが生み出され、その数は1日100万個以上とも言われる中、膨大な新種のマルウェアに対抗するには、不審な挙動やデータを基に初めてのマルウェアも検知できる仕組みが必要となりました。
そこで注目されたのが、挙動でマルウェアを見分ける「振る舞い検知」という仕組みです。
振る舞い検知とパターンマッチングの違い
マルウェアの検知方法には、前述した「パターンマッチング方式」があります。パターンマッチング方式は、20年以上前から存在する、初期のアンチウイルスソフトから採用されていた検知方法です。
過去に検出されたマルウェアの情報を、1つずつデータパターンとして登録して「パターンファイル」を作成。このパターンファイルを元に、不審なプログラムに同じパターンが無いかチェックすることでマルウェアを見抜きます。
(パターンファイル=「指名手配の書類」であり、手配書をもとに悪い奴を見つけるイメージです)。
「パターンが登録」できていれば高い精度でマルウェアを検知できる仕組みですが、パターンファイルに登録されていない新種や亜種のマルウェアは、検知できないという欠点があります。
そこで、このパターンマッチング方式の欠点を補うのが「振る舞い検知」の技術です。
▼パターンマッチング方式と振る舞い検知の違い
| 概要 | メリット | デメリット | |
|---|---|---|---|
| パターンマッチング | 過去のマルウェアを元にパターンデータを作成。
不審なプログラムをパターンデータと照合し、合致するかでマルウェアを判断する。 |
・誤検知が少ない。 | ・更新ファイルの配布までタイムラグがあるため、過去発見されていない「未知のマルウェア」は検知できない。
・パターンファイルを更新する手間がかかる ・ファイルサイズが大きくなり、システム負荷がかかる |
| 静的ヒューリスティック(振る舞い検知) | プログラムの中身(コード)を分析し、マルウェアかを判断する。 | ・既知のマルウェアを中心に未知のマルウェアに対策できるケースがある | ・誤検知がある。 |
| 動的ヒューリスティック(振る舞い検知) | プログラムを仮想環境下(サンドボックス)で実行し、マルウェアを判断する。 | ・誤検知がある。
・プログラムを実行するためシステムに負荷がかかる。 |
「振る舞い検知」はマルウェアの「挙動」を元に、リアルタイムで監視・検知するので、パターンファイルの作成が不要で、ファイル更新のタイムラグなく新種のマルウェアも検知できる点が強みです。
ただし、あくまで挙動でマルウェアを検知する特性上、正規のプログラムやファイルも「不審」と見なす「過剰検知(誤検知)」が発生する可能性がある、という弱点もあります。
アンチウイルスやEDR製品を導入する際は、振る舞い検知やパターンマッチング方式のメリットは活かしつつ、デメリットを補完できる製品を選定することが望ましいでしょう。
振る舞い検知とEDRは違うのか?
振る舞い検知と同じように、プログラムの不審な動きを監視してマルウェアを検知するセキュリティソリューションに「EDR(Endpoint Detection and Response)」があります。
EDRは、PCやスマートフォンなどのエンドポイントに対し侵入前の偵察から侵入後や実行後のマルウェアの動きを検知し、駆除や隔離、復旧などの対応を行うためのセキュリティ製品です。
「振る舞い検知」を備えたアンチウイルスは、マルウェアの侵入を未然に防ぐことを目的としていますが、EDRは主に侵入後のマルウェアを検知し、被害を最小限に抑えることを目的とする違いがあります。
▼「アンチウイルス(EPP)」と「EDR」の役割の違い
近年の巧妙化するサイバー攻撃の中、マルウェアの侵入を100%防ぐことは不可能と言われており、「エンドポイントに侵入されることを前提としたセキュリティ」であるEDRの存在は欠かせません。
エンドポイントのセキュリティ対策では、振る舞い検知が備えられたアンチウイルスなどでマルウェアの侵入を未然に防ぎ、万が一侵入を許してしまった場合にはEDRで対応するという、両者を組み合わせた対策をすることが非常に効果的です。
振る舞い検知を備えたセキュリティ製品、2つの強み(メリット)
従来のアンチウイルスの主流だったパターンマッチング方式と比べて、振る舞い検知に対応した製品は以下のような強み(メリット)があります。
- パターンファイルの更新がいらず、運用負荷が軽い
- リアルタイム検知(時差のない検知)が可能
パターンファイルの更新が不要
パターンマッチング方式は既知のマルウェアに対抗するため、マルウェアごとのパターンデータが記録された、最新のパターンファイルを常に更新する作業が必要でした。
しかし振る舞い検知ではパターンデータを使用しないため、日頃のパターンファイルの処理・更新作業がなく、管理者の工数を下げることが可能です。
リアルタイム検知(時差のない検知)が可能
振る舞い検知では、不審なプログラムを発見してから即時に判断を行う「リアルタイム検知」が採用されています。そのため近年増加している、ソフトウェアやシステムの脆弱性を狙うサイバー攻撃「ゼロデイ攻撃(修正パッチの提供前に行われる攻撃)」の対策としても効果的です。
ゼロデイ攻撃については以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。
「振る舞い検知」製品における、一般的なデメリット
パターンマッチング方式で検知できない新しいマルウェアもブロックできる振る舞い検知は、一見すると万能そうですが、以下のような難点もあります。
- 誤検知が多い
- システム負荷が高い
- 検知できないマルウェアも存在する
誤検知が多い
「誤検知が多い」点は、振る舞い検知をもつアンチウイルスでよくあるデメリットです。
振る舞い検知はプログラムの「挙動」を見て、疑わしいプログラムを検知するため、マルウェアと似たような動きをする正常なプログラムを、間違えてマルウェアと判断する「過剰検知」が起きるケースがあります。
過剰検知が発生すれば
- 従業員が不要なアラート対応に追われる
- 感染が疑われる機器やシステムが、一定期間使用できなくなる
など業務上の不利益が生じる可能性があります。
システム負荷が高い
振る舞い検知の中でも「動的ヒューリスティック方式」では、サンドボックスという仮想環境の中でプログラムを実行するため、必然的にCPUやメモリへの負荷が大きくなってしまいます。
PCやシステムへの負荷が余分にかかれば、それらの動作が遅くなり、パフォーマンスが低下する懸念があります。
検知できないマルウェアも存在する
振る舞い検知であっても、全てのマルウェアを検知できるわけではありません。
例えば「ステルスマルウェア」のような自身の存在を隠すために暗号化や変形を用いるマルウェアは、実行時にその姿を変えるため、振る舞い検知での検出は困難です。
また「すでにシステム内へ侵入し、長期にわたり潜伏するマルウェア(バックドアなど)」は、プログラムの挙動で侵入をブロックする振る舞い検知では、防ぐことができません。
そのため繰り返しとなりますが、アンチウイルス製品を選定する際は
- 振る舞い検知に加え、AI機能など別アプローチが備わったアンチウイルスを導入する
- アンチウイルスだけでなく、EDRを併用する
などの対策が重要となります。
「振る舞い検知」機能を備えながら、欠点を解消するLANSCOPE サイバープロテクション
ここまで「振る舞い検知」の概要や、その重要性について解説いたしました。
「動的ヒューリスティック方式」を用いたセキュリティ製品には、実際にプログラムを動作させる必要があるため処理負荷が大きく、すべての脅威に実行することはできないという欠点がありました。
弊社ではその「運用負荷が高く誤検知がある」という欠点をカバーした、低負荷な「静的ヒューリスティック方式」の振る舞い検知+AI自動学習機能で未知のマルウェアを検知する、業界最高峰のアンチウイルスを提供しています。
▼2種類のアンチウイルスソリューション
- アンチウイルス ✕ EDR ✕ 監視サービスをセットで利用できる「Aurora Managed Endpoint Defense」
- 各種ファイル・デバイスに対策できる次世代型アンチウイルス「Deep Instinct」
1.アンチウイルス✕EDR✕監視サービスをセットで利用可能な「Aurora Managed Endpoint Defense」
「Aurora Managed Endpoint Defense」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。
たとえば、「アンチウイルスとEDRを両方使いたい」「できるだけ安価に両機能を導入したい」「EDRの運用に不安がある」などのニーズをお持ちの企業の方には、エンドポイントセキュリティを支援する「Auroraシリーズ」の導入が最適です。
「Auroraシリーズ」では、以下の3つのサービスをお客様の予算や要望に応じて提供します。
- 最新のアンチウイルス「Aurora Protect」
- EDR「Aurora Focus」
- EDRを活用した監視サービス「Aurora Managed Endpoint Defense」
高精度なアンチウイルスとEDRの併用が可能となり、セキュリティの専門家が24時間365日体制で監視をおこなうことで、マルウェアから確実にエンドポイントを守ります。
アンチウイルスのみ、またはアンチウイルス+EDRのみの導入など、柔軟な対応も可能です。詳細は以下のページをご覧ください。
2. 各種ファイル・デバイスに対策できるNGAV「Deep Instinct」
以下のニーズをお持ちの企業・組織の方は、AIのディープラーニング技術を活用し、未知のマルウェアを高い精度でブロックする、次世代型アンチウイルス「Deep Instinct」がおすすめです。
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品から検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。
ファイル形式を問わず対処できる「Deep Instinct」であれば、多様な形式のマルウェアを形式に関係なく検知可能です。
また、手ごろな価格設定も魅力です。詳細は以下よりご覧ください。
万が一、マルウェアに感染した場合は?迅速な復旧を実現する「インシデント対応パッケージ」
「マルウェアに感染したかもしれない」 「サイトに不正ログインされた痕跡がある」 など、サイバー攻撃を受けた事後に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
フォレンジック調査のスペシャリストがお客様の環境を調査し、感染状況と影響範囲を特定。マルウェアの封じ込めをはじめとした復旧支援に加え、今後どのように対策すべきかのアドバイスまで支援いたします。
「自社で復旧作業をおこなうのが難しい」「マルウェアの感染経路や影響範囲の特定をプロに任せたい」というお客様は、是非ご検討ください。
まとめ
本記事では「振る舞い検知」の仕組みや、パターンマッチングとの違い、EDRとの併用の有効性などについて解説しました。
▼本記事のまとめ
- 振る舞い検知とは、不審な動き(=振る舞い)を見つけ出し、マルウェアを判断して検知するアンチウイルスソフトの機能
- 従来のアンチウイルスソフトは、過去に検知されたことがある既知のマルウェアのみに有効な「パターンマッチング方式」を用いていたが、新種のマルウェアに対抗できない背景から「振る舞い検知」が注目されている
- 振る舞い検知には、プログラムの中身(コード)を読み取ってマルウェアを検出する「静的ヒューリスティック法」と、実際にプログラムを実行させ、その挙動から検出する「動的ヒューリスティック法」の2種類がある
- 振る舞い検知を備えた製品は、未知のマルウェアに対策できる・パターンファイルの更新が不要・リアルタイム検知(時差のない検知)が可能などのメリットがある
- 一方で、誤検知が多い・システム負荷が高い・検知できないマルウェアも存在するなどのデメリットもあるため、振る舞い検知のみに頼らないエンドポイントセキュリティが必要
未知のマルウェアから組織の情報資産を守るためには、振る舞い検知なども備えた高機能なエンドポイントセキュリティの導入が必要不可欠です。ぜひ貴社のエンドポイントにおけるセキュリティ体制が適切であるか、見直してみてはいかがでしょうか。
万が一、マルウェアに感染した際にやってはいけないNG行為をまとめた、お役立ち資料もぜひご活用ください。
おすすめ記事
