Written by 石田成美
インターネットプロバイダに7年間勤務し、出産・育児を機にフリーランスに転身。Webライターとして、主に情報セキュリティ系のテーマをわかりやすく解説します。
目 次
「振る舞い検知」とは?
振る舞い検知による、マルウェア検知の「仕組み」
振る舞い検知のセキュリティ製品が「注目される背景」
振る舞い検知とパターンマッチングの違い
振る舞い検知とEDRは違うのか?
振る舞い検知を備えたセキュリティ製品、3つの強み(メリット)
「振る舞い検知」製品における、一般的なデメリット
「振る舞い検知」機能を備えながら、欠点を解消するLANSCOPE サイバープロテクション
まとめ
振る舞い検知とは、主にアンチウイルスソフトに導入される、「プログラムの挙動」を基にマルウェア(=ウイルスなど悪意のあるソフトウェアの総称)を検知する、セキュリティの仕組みの一つです。
PCやモバイル端末がマルウェアに感染すると、データの破壊や情報漏洩、システムの乗っ取りなどの被害に繋がるリスクがあります。そのマルウェアを侵入前に検知しブロックするのが、振る舞い検知を備えたアンチウイルス製品の役割です。
振る舞い検知は、従来のアンチウイルスソフトでは検知することが難しかった、未知のマルウェアに対し有効なセキュリティとして期待されています。ただし、昨今ではサイバー攻撃の精度が高まったことで、振る舞い検知では対策しきれないマルウェアが登場していることも事実です。
この記事では、振る舞い検知の特徴をはじめ、メリット・デメリットなどについて解説していきます。
▼この記事を要約すると
- 振る舞い検知とは、不審な動き(=振る舞い)を見つけ出し、マルウェアを判断して検知するアンチウイルスソフトの機能
- 従来のアンチウイルスソフトは、過去に検知されたことがある既知のマルウェアのみに有効な「パターンマッチング方式」を用いていたが、新種のマルウェアに対抗できない背景から「振る舞い検知」が注目されている
- 振る舞い検知には、プログラムの中身(コード)を読み取ってマルウェアを検出する「静的ヒューリスティック法」と、実際にプログラムを実行させ、その挙動から検出する「動的ヒューリスティック法」の2種類がある
- 振る舞い検知を備えた製品は、パターンファイルの更新が不要・リアルタイム検知(時差のない検知)が可能などのメリットがある
- 一方で、誤検知が多い・システム負荷が高い・検知できないマルウェアも存在するなどのデメリットもあるため、振る舞い検知のみに頼らないエンドポイントセキュリティが必要
また万が一、マルウェアに感染した際にやってはいけないNG行為をまとめた、お役立ち資料もぜひご活用ください。
「振る舞い検知」とは?
振る舞い検知とは、主にアンチウイルスソフトに用いられる「マルウェアを検知する仕組み」の一つです。不審な動き(=振る舞い)を見つけ出し、PCやモバイル端末へ侵入を試みるマルウェアを、侵入前に検知・ブロックする機能を指します。
※マルウェアとは…悪意のある不正なプログラムの総称。ウイルスもマルウェアの一種。感染すると端末が正常に動作しない・機密情報が盗まれる・改ざんされるといった被害リスクがある。
従来のアンチウイルスソフトは、過去に検知されたことがある既知のマルウェアのみに有効な「パターンマッチング方式」を用いてマルウェアの検知を行っていました。
しかし、世界中で日々新しい種類のマルウェアが作り出されている昨今、パターンマッチング方式だけでは未知の脅威に対策することは困難です。未知のマルウェアに対抗できるセキュリティとして、振る舞い検知の技術が開発されました。
「振る舞い検知」は主にNGAV(次世代型アンチウイルス)に用いられるセキュリティ製品
「振る舞い検知」は、マルウェアの侵入からエンドポイントを防ぐ「アンチウイルス」で主に用いられる機能です。
※場合によっては、以下の製品に備わる「挙動からマルウェアを検知する機能」を振る舞い検知とするケースもあります。
・ネットワーク監視ツール(NDR、IDS/IPSなど)
・SIEM/UBAN
アンチウイルス(ウイルス対策ソフト)とは、専用のソフトウェアをエンドポイントにインストールすることで使用可能なセキュリティ製品です。PCやスマートフォンといった、ネットワークに接続される末端の機器(エンドポイント)に侵入しようとするマルウェアを、リアルタイムで検知します
エンドポイントの例として、PCやモバイル端末・サーバー・VPN機器などがあげられます。
取り分けアンチウイルスの中でも、振る舞い検知の機能を備える最新のセキュリティソリューションは、従来製品との比較で、しばしば「NGAV(次世代型アンチウイルス)」と呼ばれています。
「LANSCOPEサイバープロテクション」では、AI機械学習に振る舞い検知の機能も使用し、未知のマルウェアに対策できる「NGAV(次世代型アンチウイルス)」を提供しています。
振る舞い検知による、マルウェア検知の「仕組み」
「振る舞い検知」は
・「静的ヒューリスティック法」
・「動的ヒューリスティック法」
の主に2つの検知方法に分類されます。
| 「静的ヒューリスティック方式」 |
|---|
|
・プログラムを実行させず、プログラムの中身(コード)を読み取ることで、マルウェアを検出する方法 ・読み取ったコードの特徴を既知のマルウェアと比較し、動作を予測することで、そのプログラムが脅威であるかを判断する ・プログラムを実行させない特徴から、「静的」と呼ばれる |
| 「動的ヒューリスティック方式」 |
|---|
|
・実際にプログラムを実行させて、その挙動からマルウェアを検出する方法 ・そのままプログラムを実行するのは感染リスクがあるので、サンドボックスと呼ばれる安全な仮想環境の中で、対象のプログラムを実行させる製品もある ・マルウェアが疑われるプログラムを、実際に動かして検知することから「動的」と呼ばれる |
「静的ヒューリスティック方式」と「動的ヒューリスティック方式」は、単体で用いられるケースもあれば、両者を組み合わせる製品もあります。
「両者を組み合わせる流れ」は以下の通りです。
- 1.まず「静的ヒューリスティック方式」にて「不審なプログラム」を選別
- 2.怪しいがどうしてもマルウェアと断定できないファイルのみ、「動的ヒューリスティック方式」を実施
- 3.実際にプログラムを実行させることで、怪しい挙動を選別
「動的ヒューリスティック方式」は実際にプログラムを動かす特性上、CPUやメモリへの負荷がかなり大きくなる点がデメリットです。
そのため、「静的ヒューリスティック方式」で安全性が確認できなかったプログラムのみを「動的ヒューリスティック方式」で確認するなど「補完的」な役割を担うのが一般的です。
振る舞い検知のセキュリティ製品が「注目される背景」
セキュリティソリューションにおいて「振る舞い検知」が注目されている背景には、従来のアンチウイルスソフトでは昨今の高度化するサイバー攻撃に対抗できないことが挙げられます。
従来のアンチウイルスソフトは、過去に検出されたことがあるマルウェアの情報をパターンファイル化して、システム上のプログラムにパターンファイルと同じものがないか比較する「パターンマッチング方式」でマルウェアを検出してきました。
しかしこの方法では、パターンファイルに無い、まだ検出されたことのない新種のマルウェアには対応できない、という欠点があります。
マルウェアは日々新たなものが生み出され、その数は1日100万個以上とも言われる中、膨大な新種のマルウェアに対抗するには、不審な挙動やデータを基に初めてのマルウェアも検知できる仕組みが必要となりました。
そこで注目されたのが、挙動でマルウェアを見分ける「振る舞い検知」という仕組みです。
振る舞い検知とパターンマッチングの違い
マルウェアの検知方法には、前述した「パターンマッチング方式」があります。パターンマッチング方式は、20年以上前から存在する、初期のアンチウイルスソフトから採用されていた検知方法です。
過去に検出されたマルウェアの情報を、1つずつデータパターンとして登録して「パターンファイル」を作成。このパターンファイルを元に、不審なプログラムに同じパターンが無いかチェックすることでマルウェアを見抜きます。
(パターンファイル=「指名手配の書類」であり、手配書をもとに悪い奴を見つけるイメージです)。
「パターンが登録」できていれば高い精度でマルウェアを検知できる仕組みですが、パターンファイルに登録されていない新種や亜種のマルウェアは、検知できないという欠点があります。
そこで、このパターンマッチング方式の欠点を補うのが「振る舞い検知」の技術です。
▼パターンマッチング方式と振る舞い検知の違い
| 概要 | メリット | デメリット | |
|---|---|---|---|
| パターンマッチング | 過去のマルウェアを元にパターンデータを作成。
不審なプログラムをパターンデータと照合し、合致するかでマルウェアを判断する。 |
・誤検知が少ない。 | ・更新ファイルの配布までタイムラグがあるため、過去発見されていない「未知のマルウェア」は検知できない。
・パターンファイルを更新する手間がかかる ・ファイルサイズが大きくなり、システム負荷がかかる |
| 静的ヒューリスティック(振る舞い検知) | プログラムの中身(コード)を分析し、マルウェアかを判断する。 | ・既知のマルウェアを中心に未知のマルウェアに対策できるケースがある | ・誤検知がある。 |
| 動的ヒューリスティック(振る舞い検知) | プログラムを仮想環境下(サンドボックス)で実行し、マルウェアを判断する。 | ・誤検知がある。
・プログラムを実行するためシステムに負荷がかかる。 |
「振る舞い検知」はマルウェアの「挙動」を元に、リアルタイムで監視・検知するので、パターンファイルの作成が不要で、ファイル更新のタイムラグなく新種のマルウェアも検知できる点が強みです。
ただし、あくまで挙動でマルウェアを検知する特性上、正規のプログラムやファイルも「不審」と見なす「過剰検知(誤検知)」が発生する可能性がある、という弱点もあります。
アンチウイルスやEDR製品を導入する際は、振る舞い検知やパターンマッチング方式のメリットは活かしつつ、デメリットを補完できる製品を選定することが望ましいでしょう。
振る舞い検知とEDRは違うのか?
振る舞い検知と同じように、プログラムの不審な動きを監視してマルウェアを検知するセキュリティソリューションに「EDR(Endpoint Detection and Response)」があります。
EDRは、PCやスマートフォンなどのエンドポイントに対し侵入前の偵察から侵入後や実行後のマルウェアの動きを検知し、駆除や隔離、復旧などの対応を行うためのセキュリティ製品です。
「振る舞い検知」を備えたアンチウイルスは、マルウェアの侵入を未然に防ぐことを目的としていますが、EDRは主に侵入後のマルウェアを検知し、被害を最小限に抑えることを目的とする違いがあります。
▼「アンチウイルス(EPP)」と「EDR」の役割の違い
近年の巧妙化するサイバー攻撃の中、マルウェアの侵入を100%防ぐことは不可能と言われており、「エンドポイントに侵入されることを前提としたセキュリティ」であるEDRの存在は欠かせません。
エンドポイントのセキュリティ対策では、振る舞い検知が備えられたアンチウイルスなどでマルウェアの侵入を未然に防ぎ、万が一侵入を許してしまった場合にはEDRで対応するという、両者を組み合わせた対策をすることが非常に効果的です。
振る舞い検知を備えたセキュリティ製品、3つの強み(メリット)
従来のアンチウイルスの主流だったパターンマッチング方式と比べて、振る舞い検知に対応した製品は以下のような強み(メリット)があります。
- 1.パターンファイルの更新がいらず、運用負荷が軽い
- 2.リアルタイム検知(時差のない検知)が可能
1・パターンファイルの更新が不要
パターンマッチング方式は既知のマルウェアに対抗するため、マルウェアごとのパターンデータが記録された、最新のパターンファイルを常に更新する作業が必要でした。
しかし振る舞い検知ではパターンデータを使用しないため、日頃のパターンファイルの処理・更新作業がなく、管理者の工数を下げることが可能です。
2.リアルタイム検知(時差のない検知)が可能
振る舞い検知では、不審なプログラムを発見してから即時に判断を行う「リアルタイム検知」が採用されています。そのため近年増加している、ソフトウェアやシステムの脆弱性を狙うサイバー攻撃「ゼロデイ攻撃(修正パッチの提供前に行われる攻撃)」の対策としても効果的です。
ゼロデイ攻撃については以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。
「振る舞い検知」製品における、一般的なデメリット
パターンマッチング方式で検知できない新しいマルウェアもブロックできる振る舞い検知は、一見すると万能そうですが、以下のような難点もあります。
- 1.誤検知が多い
- 2.システム負荷が高い
- 3.検知できないマルウェアも存在する
1.誤検知が多い
「誤検知が多い」点は、振る舞い検知をもつアンチウイルスでよくあるデメリットです。
振る舞い検知はプログラムの「挙動」を見て、疑わしいプログラムを検知するため、マルウェアと似たような動きをする正常なプログラムを、間違えてマルウェアと判断する「過剰検知」が起きるケースがあります。
過剰検知が発生すれば
- ・従業員が不要なアラート対応に追われる
- ・感染が疑われる機器やシステムが、一定期間使用できなくなる
など業務上の不利益が生じる可能性があります。
2.システム負荷が高い
振る舞い検知の中でも「動的ヒューリスティック方式」では、サンドボックスという仮想環境の中でプログラムを実行するため、必然的にCPUやメモリへの負荷が大きくなってしまいます。
PCやシステムへの負荷が余分にかかれば、それらの動作が遅くなり、パフォーマンスが低下する懸念があります。
検知できないマルウェアも存在する
振る舞い検知であっても、全てのマルウェアを検知できるわけではありません。
例えば「ステルスマルウェア」のような自身の存在を隠すために暗号化や変形を用いるマルウェアは、実行時にその姿を変えるため、振る舞い検知での検出は困難です。
また「すでにシステム内へ侵入し、長期にわたり潜伏するマルウェア(バックドアなど)」は、プログラムの挙動で侵入をブロックする振る舞い検知では、防ぐことができません。
そのため繰り返しとなりますが、アンチウイルス製品を選定する際は
- ・振る舞い検知に加え、AI機能など別アプローチが備わったアンチウイルスを導入する
- ・アンチウイルスだけでなく、EDRを併用する
などの対策が重要となります。
「振る舞い検知」機能を備えながら、欠点を解消するLANSCOPE サイバープロテクション
ここまで「振る舞い検知」の概要や、その重要性について解説いたしました。
「動的ヒューリスティック方式」を用いたセキュリティ製品には、実際にプログラムを動作させる必要があるため処理負荷が大きく、すべての脅威に実行することはできないという欠点がありました。
弊社ではその「運用負荷が高く誤検知がある」という欠点をカバーした、低負荷な「静的ヒューリスティック方式」の振る舞い検知+AI自動学習機能で未知のマルウェアを検知する、業界最高峰のアンチウイルスを提供しています。
▼強みの異なる2種類のアンチウイルスソリューション
1.アンチウイルス✕EDR✕監視サービスをセットで利用可能な「CylanceGUARD(サイランスガード」
2.各種ファイル・端末に対策できるNGAV「 Deep Instinct(ディープインスティンクト)」
1.アンチウイルス✕EDR✕監視サービスをセットで利用できる「CylanceGUARD(サイランスガード)」
アンチウイルスは、EDRと掛け合わせることで、より強固なエンドポイントセキュリティ体制を確立できます。
しかし実際「EDRによるセキュリティ監視に手が回らない」という声も多く、アンチウイルスとEDRの併用が出来ていないケースも少なくありません。
- ・アンチウイルスとEDRを併用したい
- ・なるべく安価に両機能を導入したい
- ・しかし運用面に不安がある
そういった方におすすめしたいのが、AIにより未知のマルウェアも検知する最新のアンチウイルス「CylancePROTECT(サイランスプロテクト)」とEDR「CylanceOPTICS(オプティクス)」を併用でき、かつ運用監視をセキュリティのプロにお任せできるセキュリティサービス「CylanceGUARD(ガード)」です。
高精度なアンチウイルス・EDRを併用できる上、セキュリティのプロが24時間365日監視を行うため、より確実にマルウェアの侵入からお客様のエンドポイントを保護することが可能です。
またニーズに合わせて、アンチウィルス単体・アンチウィルス✕EDRのみの組み合わせで導入するなど、柔軟に選択いただけます。
動的ヒューリスティック方式の振る舞い検知だけでは対策しきれない、未知のマルウェアを検知し、お客様の大切な情報資産を守ります。
2.各種ファイル・端末に対策できるNGAV「Deep Instinct(ディープインスティンクト)」
- ・PC,スマートフォンなどOSを問わず、対策をしたい
- ・振る舞い検知だけでは対策困難な「実行ファイル以外の様々なファイル」に対処できる
そういった方には、AIによるディープラーニング機能で、未知の脅威を99%の確立でブロック※する、NGAV「Deep Instinct(ディープインスティンクト)」がおすすめです。
※Unit221B社調べ
攻撃者は検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを生み出します。 しかしファイル形式を問わず対処する「Deep Instinct」であれば、これらのマルウェアも高い精度で検知・防御が可能です。
また幅広い端末での利用が可能で、Windows、macOS、AndroidなどのOSに対応しています。
LANSCOPE サイバープロテクションでは「振る舞い検知」のデメリットを解消できる
「 Cylance PROTECT 」「 Deep Instinct 」どちらの製品も
・運用工数が少ない
・リアルタイム検知が可能
という振る舞い検知の強みは押さえながら
・未知のマルウェアにも対策できる
・誤検知が少ない
・CPU・システムへの負荷が低い
といった、振る舞い検知の「デメリット」を解消出来る点が大きな強みです。
詳細はぜひ、以下のページよりご覧ください。
まとめ
本記事では「振る舞い検知」の仕組みや、パターンマッチングとの違い、EDRとの併用の有効性などについて解説しました。
▼本記事のまとめ
- 振る舞い検知とは、不審な動き(=振る舞い)を見つけ出し、マルウェアを判断して検知するアンチウイルスソフトの機能
- 従来のアンチウイルスソフトは、過去に検知されたことがある既知のマルウェアのみに有効な「パターンマッチング方式」を用いていたが、新種のマルウェアに対抗できない背景から「振る舞い検知」が注目されている
- 振る舞い検知には、プログラムの中身(コード)を読み取ってマルウェアを検出する「静的ヒューリスティック法」と、実際にプログラムを実行させ、その挙動から検出する「動的ヒューリスティック法」の2種類がある
- 振る舞い検知を備えた製品は、未知のマルウェアに対策できる・パターンファイルの更新が不要・リアルタイム検知(時差のない検知)が可能などのメリットがある
- 一方で、誤検知が多い・システム負荷が高い・検知できないマルウェアも存在するなどのデメリットもあるため、振る舞い検知のみに頼らないエンドポイントセキュリティが必要
未知のマルウェアから組織の情報資産を守るためには、振る舞い検知なども備えた高機能なエンドポイントセキュリティの導入が必要不可欠です。ぜひ貴社のエンドポイントにおけるセキュリティ体制が適切であるか、見直してみてはいかがでしょうか。
万が一、マルウェアに感染した際にやってはいけないNG行為をまとめた、お役立ち資料もぜひご活用ください。
関連する記事
