脅威に対してセキュリティ技術は進化したのか？

2010年05月24日 09時00分更新

文● トレンドマイクロ

不正プログラムが爆発的な勢いで増加し、より複雑になるのに対して、ウイルス対策ソフトもさまざまなセキュリティ技術を組み合わせて対策を行なう「セキュリティスイート」が主流となっている。しかし、機能が複雑になり、どのような効果が得られるのかがわからないまま使っているユーザーや管理者も多いことだろう。ここでは、ウイルス対策ソフトで利用できる各種セキュリティ技術とそのメリット・デメリットについて解説する。

進化する不正プログラムの検出手法

　不正プログラムを検出するもっとも基本的な方法が「パターンマッチング」で、不正プログラムが登場した20年以上前から存在する技術である。もともとパターンマッチングは「不正プログラムは不変である」という発想の元に作られた対策技術で、基本的には1つのパターンで1つの不正プログラムを発見する方式となっている。


トレンドマイクロが1992年に発売した「ウイルスバスターII」。この頃のウイルス検出の主力はパターンマッチングであった

　ところが、既知の不正プログラムに若干の修正を加えた「亜種」が登場し、その数が増え始めると、不正プログラムを効果的に発見することができなくなる。そこで考えられたのが、「ジェネリック」といわれる技術だ。これは、「亜種の核となる部分は変わらない」という発想の元に作られた技術で、既知の不正プログラムをベースとした不正プログラムを発見することができる。

　その後、大きく属性を変化させる「ポリモーフィック型」が登場すると、やはり検出は困難になってしまう。そこで開発されたのが、「ヒューリスティック（Heuristic）」といわれる技術で、「不正プログラムが行なう挙動」に関するルールを使って検出する方法である。ヒューリスティックには静的分析と動的分析の二種類があるが、静的分析はファイルの中身を見て判断するのに対し、動的分析ではファイルを仮想空間で実行させて不正な挙動があるかどうかを判断する。動的分析はエミュレーション、あるいはサンドボックスなどとも呼ばれる。

　パターンマッチングは精度の高い検出を行なえる点がメリットだが、基本的に後手に回る対策となる。さらに、不正プログラムの数が増えるのに合わせてパターンファイルが非常に大きくなってしまい、パターンファイル配信の頻度やネットワーク負荷、そしてPCの使い勝手が悪くなるなどの問題がある。ヒューリスティックは上記の通りルールで対策をするため、未知の不正プログラムを検出できる^※1というメリットがあるが、パターンマッチングに比べてPCへの負荷が高く、正規のプログラムを不正プログラムと判断してしまう「誤検知」などの可能性が高くなるデメリットがある。

※1：未知の不正プログラムを検出できる　残念ながら、未知の不正プログラムをすべて検出できるわけではない

各検出手法のメリット・デメリット
	概要	メリット	デメリット
パターンマッチング	基本的に、1つの不正プログラムに対して1つのパターンを作成する	検出精度が高い	パターンファイルのサイズが肥大化し、システムやネットワークなどに大きな負荷がかかる。パターンファイルを作成して配布するまでに、タイムラグが発生する
ジェネリック	不正プログラムの共通部分を取り出して検出を行なう。亜種の対策に有効	未知の不正プログラムに対応できる。不正プログラムの発生から対応までのタイムラグが少ない	誤検知が発生する可能性が高くなる
ヒューリスティック（静的分析）	不正プログラムの中身を調べて、判断する		誤検知が発生する可能性が高くなる
ヒューリスティック（動的分析）	不正プログラムを仮想環境で実行させ、その挙動から判断する		誤検知が発生する可能性が高くなる。仮想的に実行するため、システムへの負荷が余分にかかる