イマドキのアンチウィルス対策事情を調べました

「アンチウィルスソフト」
……というと、皆さんは何を思い浮かべるでしょうか？

PCに侵入して悪さをしようとするウィルスやスパイウェア（本記事では「マルウェア」と統一することとします）を検出・駆除するアンチウィルスソフトを思い浮かべる方が多いと思います。

しかし昨今は、技術の発展に伴いサイバー攻撃の手法や技術も巧妙かつ複雑になっているので「侵入されたら検出、駆除」するだけでは不十分となってきています。

そこで今回は近年複雑になりつつあるサイバー攻撃に対抗すべく編み出された、次世代型アンチウィルスやEDR製品といったイマドキのアンチウィルス対策事情について調査してみました。その一部を紹介したいと思います。

パターンマッチングと未知の脅威

アンチウィルスソフトの多くは、悪さをしようとするマルウェアを「パターンマッチング」という方式で検出しています。

「パターンマッチング」とは「型に一致する」ことです。
即ち、既に知られているマルウェアの特徴をデータベース化し、その特徴と一致するファイルがあった場合はマルウェアと判断するという技術です。

新種や亜種のマルウェアないし脆弱性が発見されると、その情報は全世界で迅速に情報共有され、アンチウィルスソフトのメーカーがデータベースを随時更新しているため、コンピュータを脅かす新たなマルウェアについてはどんどん情報が溜まります。

アンチウィルスソフトを既に利用している方は「定義データベースの更新がまだです」のような警告が出ているのを見たことがある方もいるかと思います。
要するにこれは「データベース更新しないと新しいマルウェアが侵入したら検出できないよ、更新してね」というアンチウィルスソフトからのメッセージだったということです。

ですから、既にご利用のPCにアンチウィルスソフトを導入している方は定期的にこのデータベースを更新し、安全性を高めていくことが重要です。

ここまでご説明すると、疑問に思う方もいらっしゃると思います。

データベースにない未知のマルウェアはどうなるのか？
結論として、無防備な状態になってしまう場合があります。

未知のマルウェアはデータベースに「これはマルウェアの特徴だ」と分かる情報がないので、従来のパターンマッチング方式はマルウェアと認識できずに検出も駆除もできないことがあります。

前述したとおり、サイバー攻撃は激化しており毎日のように何かしらの脆弱性が見つかったり、新しいマルウェアや攻撃方法が作られたりしています。

また既知のマルウェアだったとしてもデータベースに登録されている特徴の部分だけを暗号化したり、敢えて特徴を分割して検出しにくくしたりといった細工が施されることもあります。そんななかで「分かっている脅威しか防御できない」というのは企業活動を続けていく中であまりにも不安です。

……しかし、技術的に発展しているのはマルウェアに限ったことではありません。
防御するためのアンチウィルスソフトやアンチウィルスに関する製品も進化するサイバー攻撃に備えて発展しているのです。

未知の脅威と次世代型アンチウィルス

未知のマルウェアへも対応できるアンチウィルスソフトとして「次世代型アンチウィルス（NGAV、Next Generation Anti-Virus）」があります。

従来のアンチウィルスソフトのように「パターンマッチング」でマルウェアを検出、駆除するのに加えて、「振る舞い検知」という機能で未知のマルウェアに対応します。

「振る舞い検知」はマルウェア特有の「動作や挙動」を検出して、マルウェアかどうかを判断します。

新種のものであっても巧妙に隠ぺいされていたとしても、マルウェアがやろうとしている「動作や挙動」は結局のところ、データの盗難、意図しない権限変更、マシンへ不自然な高負荷をかけるといったものです。

「振る舞い検知」はそのような「動作や挙動」をしたプログラムをマルウェアとみなして検出、駆除することができます。

イメージとしては指名手配犯を検挙するのではなく、不審な人物に職務質問して検挙する、みたいな感じです。

従来のパターンマッチング方式ですとデータベースにない未知のマルウェアに対しては対策が難しい状態でしたが、次世代型アンチウィルスに実装されている「振る舞い検知」であれば未知のマルウェアに対しても防御することができるようになるのです。

少し話は反れますが「振る舞い検知」に関してAI技術が使われることもあります。

「振る舞い検知」はプログラムの動きによってマルウェアか否かを判断するので、正常なプログラムに対してもマルウェアとして判断して「誤検知」してしまうことがあります。

そういったデメリットを軽減するために、AI技術の機械学習のひとつである「クラス分類」（マルウェアか、そうでないかの分類分け）を用いて検出の精度を高めるといった仕組みも出てきています。

EDR製品を用いたセキュリティ対策

次世代型アンチウィルスがこれからのセキュリティ対策として必須になるであろうことを説明してきましたが、別の視点から今後のセキュリティ対策には欠かせない存在となるであろう「EDR」という製品についても説明したいと思います。

これまでのアンチウィルスソフトや次世代型アンチウィルスといったソフトウェアは、EPP（Endpoint Protection Platform）というくくりになり、平たく言うと「エンドポイント（ユーザーが利用しているPC端末など）を保護するための機能」です。

これに対してEDR（Endpoint Detection and Response）とは何かと言うと「エンドポイント（ユーザーが利用しているPC端末など）が感染したら原因が何か、どこから侵入したかを探って対応する機能」となります。

繰り返しになりますが、サイバー攻撃は日々新しいものが発生しているといっても過言ではありません。次世代型アンチウィルスは前述したとおり未知のマルウェアに対しても検出、駆除できる機能を備えていますが、それすらもすり抜けてしまうマルウェアが現れることも十分に考えられます。そんな時に活躍するのがEDR製品です。

EDR製品の機能は製品によって違いもありますが、大きく以下の3つに分けて実装されていることが多いです。

＊「PCの状況監視」機能について　＊

PCの状況監視機能はアンチウィルスソフトにおける「検出」と同じですが、目的が違います。

製品にもよりますが、アンチウィルスソフトの場合は検出した際に「どこで何が起きたのか」を詳細にログとして残すことを目的とはしていません。検出したあとに問題があれば駆除することが目的です。

EDR製品は「駆除」の機能を備えておらず、マルウェアが「どこから入って」「どこで感染したのか」という「原因特定の支援」に備えることが目的となっています。

＊「原因特定の支援」 機能について　＊

原因特定の支援機能は感染などの脅威が発生した際に前述のPCの状況監視機能で収集したログを用いて「どの端末が」「何台くらい」「何によって」「危機にさらされているか」を確認することができます。

これによりマルウェアの感染経路や原因を調査することが可能になります。

＊「感染したPCの隔離」機能について　＊

最後の感染したPCの隔離機能は製品によって機能の違いはありますが、問題が発生している端末を社内ネットワークから論理抜線（隔離）したり、感染したPC内のマルウェアをEDR製品の管理用端末から遠隔で削除するといったことができます。

すなわちEDR製品とは、脅威の発生前に対策をするEPP製品に対して、脅威の発生後の対策をする側面を担っているのです。

調査結果・まとめ

新しい技術が生まれれば、それに対応した攻撃方法や脆弱性もセットで生まれてきます。

その為、目まぐるしく情報や技術が変化していく現代において、これまでのようにアンチウィルスソフトを導入して「事前の対策」を行うだけでは不十分になってきています。

EDR製品についてもただ導入すれば安心できるかというと、そうではありません。
何故ならば、PCのログを追って原因特定できるだけのセキュリティに関する知識、知見が無ければ導入コストに見合った効果は期待できないからです。

ビジネス活動の傍らに必要不可欠と言っても過言ではないセキュリティ。この確保の為には、技術の発展と一緒に利用する「人」も発展していかなければならないようです。

ブルームテクノロジーも技術とそのセキュリティの進歩の為、今後とも社員一丸となって邁進していきたいと思います。