セキュリティソフトにはウイルス対策機能が備わっていて、ウイルスがパソコンに侵入する前に検出・除去しています…、とここまではみんな知っていると思いますが、では実際にはどのようにしてウイルスを検出していると思いますか?
かつては、ウイルスの検出方法といえば「パターンマッチング」と呼ばれる手法が主流でした。パターンマッチングは、これまでに発見されたウイルスの特徴が登録されている「ウイルス定義ファイル」をもとにして、パソコンに侵入してきたマルウェアと思われるプログラムと定義ファイルとマッチングさせてウイルスかどうかを判断する手法です。
この「ウイルス定義ファイル」とは、人相書きようなもので、指名手配犯を探すようにしてウイルスを検出します。ウイルスが検出されると、ウイルス定義ファイルに登録されているタイプに応じて、ウイルスを隔離したり除去するなどの対策がとられます。
その後、ウイルスの手口がますます巧妙化していく中、パターンマッチングだけではすべてのウイルスを検出することが難しくなっていきました。ウイルスが多様化・悪質化し、「ウイルス定義ファイル」にウイルスが登録されないケースや登録までに時間がかかってしまうケースが増えてきたためです。
そこで誕生したのが「ヒューリスティック(ふるまい検知)」と呼ばれる新たな手法です。「ヒューリスティック」とは、そもそも過去の事例や動き・ふるまいなどをもとに予測を行い、その結果、精度の高い解答を導き出す手法に使われる言葉ですが、セキュリティの分野においても同様の手法が使われています。
たとえば、「ウイルス定義ファイル」には登録されていないウイルスであっても、通常と違う怪しい動きや不審なふるまい(「ビヘイビア」とも言います)をとることで”危険”と判断され、侵入が遮断されます。この新たな手法により、未知のウイルスやゼロデイ攻撃(※1)にも的確かつ素早く対応することができるようになりました。
「ヒューリスティック」の手法には2種類あり、怪しいふるまいの行動パターンを点数化して一定の点数以上のものをウイルスと認識する方法を「スタティックヒューリスティック」と呼び、ウイルスが実際に行動を起こす前に仮想的にプログラムを実行させて怪しいふるまいを検知する方法を「ダイナミックヒューリスティック」と呼んでいます。ダイナミックヒューリスティックはシマンテックが開発した独自の技術で、「ブラッドハウンド」と呼んでいます。
上記2つの検出手法があれば万全だと思いたいところですが、近年は1つのマルウェアから数万種に及ぶ新しいマルウェア(「亜種」と言います)をつくり出して不特定多数の人に配布するなど、より悪質な手口が増えてきており、これらに対抗する新たな手段が必要となりました。そこで誕生したのが、「レピュテーション(評価)」と呼ばれる最先端の検出技術です。
「レピュテーション」とは、全世界に広がるノートンコミュニティウォッチから自動的に送られてくるデータを利用して、さまざまなファイルの安全性/危険性を判断する技術です。世界中の5300万人からなるノートンコミュニティウォッチは業界一の人数を誇り、その情報量の多さと独自の評価手法で他社に追随を許さない高い効果を発揮しています。
レピュテーション技術では、アプリケーション、ウェブサイト、電子メールなど多岐にわたるファイルを評価して、あらゆる脅威を見逃さず検出・除去しています。
ノートン製品は従来からの手法である「パターンマッチング」にも「パルスアップデート」という業界最高頻度の5分から15分に1回ファイル更新をする技術を取り入れています。加えて、「ブラッドハウンド」を発展させた次世代のヒューリスティック技術「SONAR(Symantec Online Network for Advanced Response)」と新たなセキュリティアプローチである「レピュテーション」技術を取り入れ、大変安全性の高いセキュリティレベルを実現しています。
こうしてノートン製品は多くの保護手法を効率良く機能させることで、どんなに巧妙な手口であっても逃さずしっかり監視し、ウイルスや不正プログラムなどの侵入を防いでいます。年々複雑化しているセキュリティ対策にはノートンのような高性能なセキュリティ対策ソフトを導入することをお勧めします。
[提供:シマンテック]