Written by WizLANSCOPE編集部
マルウェア感染時のNG行動とは?
「えっ!それやっちゃダメだったの!?」マルウェア感染の被害を拡大しないために知っておきたいNG行動をまとめました。専門家が教える感染時の正しい対処法もお伝えします。
目 次
近年、ランサムウェアやファイルレスマルウェアをはじめとする高度なサイバー攻撃が増加しています。
また、未知の脆弱性を悪用するゼロデイ攻撃など、従来のシグネチャベースのセキュリティ対策では検知が難しい攻撃も多発しています。
このような状況のなかで注目されているのが「振る舞い検知」です。
振る舞い検知は、プログラムやユーザーの行動パターンを分析し、不審な挙動を検出することで未知の脅威にも対応できるセキュリティ技術です。
本記事では、振る舞い検知の仕組みや検知対象、導入するメリット・デメリットについてわかりやすく解説します。
▼本記事でわかること
- 振る舞い検知の仕組み
- 振る舞い検知の検知対象
- 振る舞い検知のメリット・デメリット
「振る舞い検知とはどのような技術なのか」「従来のセキュリティ対策と何が違うのか」を知りたい方は、ぜひ最後までご覧ください。
振る舞い検知とは
振る舞い検知とは、プログラムやユーザーの挙動を監視し、通常とは異なる不審な動作や攻撃につながる挙動を検知するセキュリティ技術です。
従来のアンチウイルスソフトがマルウェアの特徴(シグネチャ)をもとに検知を行うのに対し、振る舞い検知は「どのような動きをしているか」に着目して脅威を判別します。
そのため、既知のマルウェアだけでなく、未知のマルウェアやゼロデイ攻撃への対策としても有効です。
振る舞い検知は、主に以下の流れで脅威を検出します。
| 流れ | 実施項目 |
|---|---|
| 1.基準(ベースライン)の作成 | ・正常な状態(ベースライン)や許可された動作の基準を定義する |
| 2.監視 | ・プロセス、ファイル操作、レジストリ変更、ネットワーク通信などを継続的に監視する |
| 3.検知 | ・基準から逸脱した不審な挙動を検知する |
| 4.隔離・遮断 | ・不審な動作をしたプログラムの隔離、通信の遮断、管理者への通知などを実施する |
振る舞い検知を活用することで、PCやスマートフォン、サーバーなどのエンドポイントを狙うマルウェアや不正アクセスを早期に検知し、被害の拡大を防ぐことができます。
近年は、ランサムウェアやファイルレスマルウェアなど、シグネチャベースの方法では検知が難しい攻撃が増加しています。
また、AIの活用によって新たなマルウェアが短期間で大量に生成されるようになり、従来のパターンマッチング方式だけでは十分な対策が難しくなっています。
こうした背景から、未知の脅威にも対応できる技術として振る舞い検知への注目が高まっています。
なお、振る舞い検知を中核機能として搭載した製品は「NGAV(次世代型アンチウイルス)」と呼ばれ、多くの企業で導入が進んでいます。
振る舞い検知の仕組み
振る舞い検知では、プログラムの特徴や挙動を分析して脅威を判別する「ヒューリスティック分析」が用いられます。
ヒューリスティック分析は、大きく以下の2つに分けられます。
- 静的ヒューリスティック法
- 動的ヒューリスティック法
それぞれの特徴を解説します。
静的ヒューリスティック法
静的ヒューリスティックとは、プログラムを実行せずに、ファイル構造やコードの内容を解析してマルウェアを検出する手法です。
プログラム内に含まれる命令やコードパターンを分析し、マルウェアに見られる特徴や不審な挙動につながる要素がないかを確認します。分析結果から実行後の動作を予測し、脅威であるかどうかを判断します。
プログラムを実行する前に検知できるため、マルウェアの侵入を早期に防止できる点がメリットです。
一方で、実際の動作までは確認できないため、正常なプログラムを誤って脅威と判定する誤検知が発生する可能性があります。
動的ヒューリスティック法
動的ヒューリスティックとは、プログラムを実際に実行し、その挙動を監視することでマルウェアを検出する手法です。
例えば、以下のような挙動が確認された場合、マルウェアとして検知されることがあります。
- 大量のファイルを暗号化する
- システム設定を無断で変更する
- 外部の不審なサーバーと通信する
実際の挙動をもとに判定するため、未知のマルウェアやファイルレスマルウェアなど、シグネチャでは検知が難しい脅威にも対応しやすい点が特徴です。
なお、製品によってはサンドボックスと呼ばれる隔離された仮想環境内でプログラムを実行し、安全に挙動を分析する場合もあります。
近年のNGAVやEDRでは、動的ヒューリスティックを含む振る舞い分析技術が広く採用されています。
一方で、プログラムの実行状況を継続的に監視する必要があるため、静的ヒューリスティックと比較するとシステム負荷が高くなる傾向があります。
振る舞い検知の対象
振る舞い検知では、プログラムの動作だけでなく、ネットワーク通信やユーザー・デバイスの行動パターンも監視・分析の対象となります。
主な検知対象は、以下の3つです。
- プログラムの不審な動き
- ネットワークトラフィックの異常
- ユーザーやデバイスの行動変化
それぞれの内容を詳しく確認していきましょう。
プログラムの不審な動き
振る舞い検知では、プログラムの実行状況を監視し、マルウェア特有の不審な挙動を検知します。
例えば、許可されていない外部サーバー(C&Cサーバー)との通信や、大量のファイルの暗号化、システム設定の無断変更などが挙げられます。
近年増加しているランサムウェアは、短時間で大量のファイルを暗号化する特徴があるため、振る舞い検知によって被害拡大前に検知・遮断できる可能性があります。
関連ページ
ネットワークトラフィックの異常
振る舞い検知では、ネットワーク上の通信状況を分析し、通常とは異なるトラフィックの増加や不審な通信を検知することも可能です。
具体的には、DDoS攻撃の兆候となる大量のデータ通信や急激なトラフィック増加、不正なポートスキャン、外部の不審なサーバーとの継続的な通信などが検知対象となります。
これにより、マルウェア感染後の不正通信やサイバー攻撃の兆候を早期に把握し、被害拡大を防止できます。
ユーザーやデバイスの行動変化
振る舞い検知では、ユーザーやデバイスの通常時の行動パターンを学習し、それらから逸脱した挙動を検知します。
特に以下のような行動は、不正アクセスや内部不正の兆候として検知される可能性があります。
- 通常とは異なる時間帯や場所(海外など)からのログイン
- 普段利用しないデバイスからのアクセス
- 機密データや重要フォルダへの大量アクセス・ダウンロード
- 短時間での大量ログイン試行
このような行動変化を検知することで、アカウントの乗っ取りや情報漏えいのリスクを早期に発見できます。
振る舞い検知とパターンマッチングの違い
振る舞い検知とパターンマッチングは、主に以下のような違いがあります。
| 振る舞い検知 | パターンマッチング | |
|---|---|---|
| 検知方法 | プログラムやユーザーの挙動を分析して判定 | 既知のパターンと照合して判定 |
| 未知の脅威 | 可能 | 困難 |
| 誤検知 | 発生しやすい | 比較的少ない |
| システム負荷 | 比較的高い | 比較的軽い |
パターンマッチング方式は、過去に検出されたマルウェアの特徴をデータとして登録した「パターンファイル(シグネチャ)」を利用してマルウェアを検知する仕組みです。
対象のプログラムとパターンファイルを照合し、一致する特徴が見つかった場合に脅威として判定します。そのため、既知のマルウェアに対しては高い検知精度を発揮します。
一方で、パターンファイルに登録されていない新種や亜種のマルウェア、ゼロデイ攻撃などは検知が難しいという課題があります。
これに対して振る舞い検知は、プログラムの動作やユーザーの行動を継続的に監視し、不審な挙動がないかを分析することで脅威を判定します。
そのため、既知のパターンに依存せず、未知のマルウェアやファイルレスマルウェアなども検知できる可能性があります。
ただし、正常なプログラムであっても挙動によっては不審と判断される場合があり、パターンマッチング方式と比較すると誤検知が発生しやすい傾向があります。
現在のNGAVやEDR製品では、振る舞い検知とパターンマッチングを組み合わせることで、それぞれの弱点を補完しながら検知精度を高める仕組みが一般的です。
そのため、製品選定時にはどちらか一方の方式だけでなく、複数の検知技術を組み合わせているかどうかも重要な判断基準となります。
振る舞い検知のメリット
振る舞い検知の最大のメリットは、既知のマルウェアだけでなく、未知のマルウェアにも対応できる点です。
また、プログラムやユーザーの「挙動」をもとに脅威を判定するため、従来のパターンマッチング方式にはないメリットもあります。
振る舞い検知の主なメリットについて詳しく見ていきましょう。
パターンファイルへの依存度を下げられる
従来のパターンマッチング方式では、既知のマルウェアの特徴を記録したパターンファイル(シグネチャ)をもとに脅威を検知します。
そのため、新たなマルウェアが発見されるたびにパターンファイルを更新する必要があり、更新前の脅威には対応できないケースがありました。
一方で振る舞い検知は、プログラムやユーザーの挙動を分析して脅威を判定するため、パターンファイルだけに依存せずに検知を行うことが可能です。
これにより、新種や亜種のマルウェアにも対応しやすくなり、パターンファイル更新のタイムラグによるリスクを軽減できます。
リアルタイムで脅威を検知できる
振る舞い検知では、プログラムやユーザーの挙動を継続的に監視するため、不審な動きを検知した時点で迅速な対応が可能です。
例えば、大量のファイル暗号化や不審な外部サーバーとの通信など、マルウェア特有の挙動が確認された場合、プログラムの停止や通信の遮断を自動で実施できる製品もあります。
また、未知の脆弱性を悪用するゼロデイ攻撃は、事前に攻撃パターンを把握できないケースが少なくありません。
この場合でも、攻撃に伴う不審な挙動を検知することで、被害の拡大を防げる可能性があります。
ゼロデイ攻撃については、以下の記事で詳しく解説しています。ぜひあわせてご覧ください。
振る舞い検知のデメリット
振る舞い検知は多くのメリットがある一方で、いくつか注意すべきデメリットもあります。
主なデメリットは以下の3つです。
- 誤検知が発生しやすい
- システム負荷が高い
- 検知できないマルウェアも存在する
導入を検討する際は、メリットだけでなくデメリットも理解したうえで、自社の環境や運用体制に適した製品を選ぶことが重要です。
誤検知が発生しやすい
振る舞い検知は、プログラムやユーザーの挙動を継続的に監視し、正常な状態(ベースライン)から逸脱した動作を検知する仕組みです。
この仕組み上、正常なプログラムであっても、挙動によっては不審と判断されるケースがあります。
また、ベースラインの設定が実際の業務環境に適していない場合、本来は問題のない操作まで異常として検知してしまう可能性があります。
過剰検知が発生すると、以下のような影響が生じることがあります。
- 従業員が不要なアラート対応に追われる
- セキュリティ担当者の運用負荷が増加する
- 感染が疑われる機器やシステムが一時的に利用できなくなる
そのため、振る舞い検知を効果的に運用するためには、自社の利用環境に合わせてベースラインや検知ルールを適切に調整することが重要です。
システム負荷が高い
振る舞い検知では、プログラムやユーザーの挙動を継続的に監視するため、従来のパターンマッチング方式と比較するとCPUやメモリへの負荷が高くなる傾向があります。
例えば、プロセスの実行状況やファイル操作、ネットワーク通信などをリアルタイムで分析するため、一定のシステムリソースを消費します。
また、製品によってはサンドボックスなどの分析機能を利用する場合もあり、その際は追加の処理負荷が発生することがあります。
PCやシステムへの負荷が大きくなると、アプリケーションの動作速度やシステム全体のパフォーマンスに影響を及ぼす可能性があります。
そのため、導入時には検知精度だけでなく、システム負荷や運用環境との適合性も考慮して製品を選定することが重要です。
検知できない脅威も存在する
振る舞い検知は未知の脅威への対応に優れていますが、すべての攻撃を確実に検知できるわけではありません。
特に以下のようなケースでは、検知が難しくなる場合があります。
- 正規アカウントを悪用した攻撃
- 正規ツールを悪用した攻撃
- 内部不正
- 実行前されていないマルウェア
振る舞い検知は、プログラムのプロセスやネットワーク通信、ユーザーの行動などを監視し、正常な状態(ベースライン)から逸脱した挙動を検知する仕組みです。
そのため、正規アカウントや正規ツールを利用した攻撃のように、一見すると通常業務と区別しにくいケースでは、検知が難しくなることがあります。
例えば、攻撃者が窃取した認証情報を利用して従業員になりすまし、通常の権限範囲内でクラウドサービスやファイルサーバーへアクセスした場合、単純な振る舞い検知だけでは不正と判断できない可能性があります。
また、内部不正についても同様です。
正当な権限を持つ従業員が通常の手順で機密情報へアクセスした場合、その行為だけで異常と判断することは容易ではありません。
さらに、振る舞い検知は実行後の挙動を分析する仕組みであるため、まだ実行されていないマルウェアや潜伏中のマルウェアについては検知が難しい場合があります。
そのため、実際のセキュリティ対策では、振る舞い検知だけでなく、シグネチャ検知やアクセス制御、多要素認証などの対策を組み合わせることが重要です。
振る舞い検知とEDRの関係
エンドポイント保護のために、EDRの導入を検討する企業も少なくありません。
EDRは、PCやスマートフォンなどのエンドポイントを監視し、サイバー攻撃の兆候や侵入後の不審な挙動を検知するセキュリティ製品です。
近年のEDRでは、振る舞い検知をはじめとする複数の検知技術が活用されており、マルウェアや不正アクセスの早期発見に役立てられています。
サイバー攻撃の手口は年々高度化・巧妙化しているため、単に「侵入を防ぐ」対策だけでは十分ではありません。
そのため、振る舞い検知などの技術を活用して脅威を早期に発見し、EDRによる監視やインシデント対応につなげることで、より強固なセキュリティ対策を実現できます。
振る舞い検知を搭載した「LANSCOPE サイバープロテクション」
「動的ヒューリスティック方式」を用いたセキュリティ製品は、プログラムの挙動を分析して脅威を検知できる一方で、システム負荷や誤検知への対応が課題となる場合があります。
そのため近年では、静的ヒューリスティック分析やAIを活用し、未知のマルウェアへの対応力と運用負荷の軽減を両立する製品も登場しています。
本記事では、静的ヒューリスティック方式による振る舞い検知とAI自動学習機能を活用し、未知のマルウェアの検知を実現する「LANSCOPE サイバープロテクション」のセキュリティソリューションを紹介します。
▼主なソリューション
- 世界トップレベルの専門家によるMDRサービス「Aurora Managed Endpoint Defense」
- 各種ファイルへの対策に対応した次世代型アンチウイルス「Deep Instinct」
それぞれの特徴を詳しく解説します。
世界トップレベルの専門家によるMDRサービス「Aurora Managed Endpoint Defense」
「Aurora Managed Endpoint Defense 」は、アンチウイルスとEDRを組み合わせ、エンドポイントを多層的に保護するセキュリティソリューションです。
高度なエンドポイントセキュリティ製品を導入しても、適切に運用できなければ十分な効果は得られません。
「Aurora Managed Endpoint Defense」は、以下の2つのセキュリティソリューションの運用を、セキュリティのスペシャリストが代行するMDRサービスです。
- 脅威の侵入をブロックする「AIアンチウイルス」
- 侵入後の脅威を検知し対処する「EDR」
これらを組み合わせることで、マルウェアの侵入防止から侵入後の検知・対応までを一貫してカバーできます。
さらに、専門家による24時間365日の監視体制により、より高い精度でエンドポイントを保護します。
また、インシデント発生時にはお客様に代わって迅速な対応が行われるため、セキュリティ対応にかかる負荷を軽減し、本来の業務に専念できる環境が構築できます。
「LANSCOPE サイバープロテクション」は、 アンチウイルスのみ、アンチウイルス+EDRのみ導入するなど、柔軟な運用も可能です。
「Aurora Managed Endpoint Defense」についてより詳しく知りたい方は、下記のページまたは資料をご確認ください。
各種ファイルに対策できるNGAV「Deep Instinct」
「LANSCOPE サイバープロテクション」では、 AI(ディープラーニング)を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。
下記のようなセキュリティ課題をお持ちの企業・組織の方は、 検知率99%以上のアンチウイルス製品「Deep Instinct」の利用がおすすめです。※
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対策したい
- コストを抑えつつ、高性能なアンチウイルスを導入したい
近年、攻撃者はセキュリティ製品による検知を回避するため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式でマルウェアを仕掛けてきます。
「Deep Instinct」は、こうしたファイル形式の違いに依存せず、さまざまな種類のファイルに対して検知が可能なアンチウイルスです。
これにより、多様化するマルウェアへの対策を強化できます。
また、導入しやすい価格帯で提供されている点も特徴の一つです。
「Deep Instinct」についてより詳しく知りたい方は、以下のページを合わせてご確認ください。
※Unit221B社調べ
マルウェア感染時の迅速な復旧に「インシデント対応パッケージ」
「マルウェアに感染したかもしれない」「サイトに不正ログインされた痕跡がある」など、「サイバー攻撃を受けた後」に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。
「LANSCOPE サイバープロテクション」のインシデント対応パッケージは、フォレンジック調査の専門家がお客様の環境を調査し、感染状況や影響範囲を特定します。
また、マルウェアや脅威の封じ込めから復旧支援、さらに今後の対策に関するアドバイスまでを提供します。
インシデント対応パッケージについて詳しく知りたい方は、下記のページをご確認ください。
まとめ
本記事では、「振る舞い検知」をテーマに、その仕組みや検知対象、導入メリットなどを解説しました。
本記事のまとめ
- 振る舞い検知とは、プログラムやユーザーの挙動を監視し、通常とは異なる不審な動作を検知する技術
- 振る舞い検知の検知方法は、「静的ヒューリスティック法」と「動的ヒューリスティック法」に大別される
- 主な検知対象として、「プログラムの不審な動き」「ネットワークトラフィックの異常」「ユーザーやデバイスの行動変化」が挙げられる
- 振る舞い検知には、未知のマルウェアへの対応や、パターンファイルへの依存度を下げられるといったメリットがある
近年のサイバー攻撃では、未知のマルウェアやゼロデイ攻撃など、従来のパターンマッチング方式だけでは対策が難しい脅威が増加しています。
そのため、既知・未知を問わず脅威の兆候を検知できる振る舞い検知は、エンドポイントセキュリティを強化するうえで重要な技術の一つといえるでしょう。
本記事で紹介した「LANSCOPE サイバープロテクション」は、振る舞い検知やAIを活用したセキュリティソリューションを提供しています。
エンドポイント保護の強化や、未知のマルウェア対策を検討している企業・組織の方は、ぜひ導入をご検討ください。
マルウェア感染時のNG行動とは?
「えっ!それやっちゃダメだったの!?」マルウェア感染の被害を拡大しないために知っておきたいNG行動をまとめました。専門家が教える感染時の正しい対処法もお伝えします。
おすすめ記事
