マルウェアの検出技術
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/07/30 23:21 UTC 版)
マルウェアの検出には、マルウェア検出回避技術に対抗するために様々な技術を用いている。下記に例を示す。ただし、いかなる方法・手段・技術を用いても未知のマルウェアを100%検出・発見できるわけではない。また、いかなる方法・手段・技術を用いても未知のマルウェアからパソコンを100%保護してくれるわけではない。 パターンマッチング検出技術:セキュリティソフトなどがマルウェアを発見するための、最も一般的な方式である。セキュリティソフトは、パターンファイルと呼ばれるマルウェアの特徴(パターン)を記録したリストを持っている。そして、そのリストとパソコン内のファイルを比較して、一致すればマルウェアと判定して除去する。これが、パターンマッチングと呼ばれる方式である。パターンマッチングは、すでに存在が知られているマルウェアは間違いなく検出できる可能性が高い。ただし、そのためには常にパターンファイルを最新の状態にしておく必要がある。新しいマルウェアが登場したとき、その存在が知られて、パターンファイルに新しいマルウェアの情報が登録されるまでは効果がない。亜種・変種といって、既知のマルウェアを僅かに改変したマルウェアにも対応できない。 ヒューリスティック検出技術:ヒューリスティック検出技術とは、セキュリティソフトなどがマルウェアを探索する際に、パターンマッチングではなくマルウェアに特徴的な挙動の有無を調べる手法である。ヒューリスティック検知では、実行ファイルの挙動などを解析し、ライブラリファイルの書き換えなど、一般的なプログラムではあまり見られないような特異な挙動を探し出し、感染したマルウェアによるものと類推する。未知のマルウェアや亜種などに対して、ある程度の対応が可能である。ただし、この方法では未知のマルウェアを100%発見できるわけではなく、また、マルウェアではないものをマルウェアと誤認する場合もある。 サンドボックス検出技術:パソコンの内部に「サンドボックス」と呼ぶ仮想化環境を用意して、そこで不審なプログラムを動作させてみてマルウェアかどうかを判定する手法である。仮想化環境でなら不審なプログラムを動作させても、実環境に被害が及ぶことはない。 ビヘイビアブロッキング(振る舞い検知)技術:サンドボックス検出技術のサンドボックス上の実環境におけるプログラムの挙動を見てウイルスを検出するものを「振る舞い検知」あるいは「ビヘイビアブロッキング」と呼ぶ。 ジェネリック検出技術:短期間に大量発生するウイルスの亜種に迅速に対応する検出技術として採用されているのがジェネリック検出である。ジェネリック検出では、特定のマルウェアの既知の亜種から共通点を抽出し、既知の亜種だけでなく亜種と想定される複数のマルウェアを検出する。また、パターンマッチング方式では検出できない新しい亜種であっても、共通点が一致していれば発生した時点で検出できる。 パッカー検出技術:使われたパッカー・クリプターなどのコード改変ツールの「種類」から、怪しいかどうかを判定してマルウェアの疑いのあるファイルを検出する手法である。マルウェアに使われることの多いコード改変ツールが利用されたファイルを、疑わしいファイルとして検出する。 ホストベース不正侵入検知システム (Host-based Intrusion Detection System, HIDS) :Host IDSはシステム設定の変更を行ったユーザーや設定ファイルの変更箇所など、ファイルやレジストリへの変更をリアルタイムで監視し不正動作を検出する手法である。 ホストベース不正侵入防止システム (Host-based Intrusion Prevention System, HIPS) :アプリケーションに対しての最小権限アクセス制御機能によりゼロデイ攻撃を防ぎ、承認されたアプリケーションのプロセスであっても所定の動作に制限し、不正な攻撃からシステムを防御する手法である。 エクスプロイト対策技術:アプリケーション(PDFビューア・ブラウザなど)の脆弱性を突くエクスプロイト攻撃により、パソコンが不正侵入を受けないように保護する機能である。一般的なエクスプロイト対策としてはアプリケーションを最新の状態に更新することが非常に重要であるが、未知のエクスプロイト攻撃があった場合、更新を行っているだけでは完全に防げない可能性がある。どうしても防ぎきれない未知のエクスプロイト攻撃から出来る限りパソコンを保護する機能である。脆弱性攻撃防御技術とも呼ばれる。
※この「マルウェアの検出技術」の解説は、「マルウェア」の解説の一部です。
「マルウェアの検出技術」を含む「マルウェア」の記事については、「マルウェア」の概要を参照ください。
- マルウェアの検出技術のページへのリンク