振る舞い検知とは?その特徴やメリットデメリットを徹底解説|サイバーセキュリティ.com

振る舞い検知とは?その特徴やメリットデメリットを徹底解説



「ウィルス対策ソフトでも見つけられないウィルスがある」と聞けば、皆さんは驚くのではないでしょうか。実は、従来のウィルス対策ソフトでは未知のウィルスは見つけることが出来ません。

この問題を解決するために開発されたものが「振る舞い検知」という手法です。振る舞い検知では、従来の方法と異なり、「ウィルスっぽい」といった不審なプログラムの行動を見つけることで検知をします。それにより未知のウィルスでも検知が可能な振る舞い検知。今回は、この振る舞い検知について紹介します。

振る舞い検知とは

従来のウィルス対策ソフトは、膨大なウィルスのデータベースとの照合によってウィルスを検知していました。

これに対して、「振る舞い検知」では、「不審な動きをしている」といった正常なプログラムには見られないウィルス特有の動きを見つけ出すことで、ウイルスを検知するもので、未知のウィルスにも対応できるという特徴があります。

振る舞い検知の方法

従来の方法では、検知することが難しかった未知のウィルスも「振る舞い検知」では、見つけることが可能です。それには「ビヘイビア」という方法が用いられます。それ以外にも「ヒューリスティック」と呼ばれる手法や、従来用いられてきた「パターンマッチング」手法についても併せて見ていきましょう。

パターンマッチング

従来のウィルス対策ソフトで一般的に使われている手法が、パターンマッチングです。ウィルスパターンファイルなどのウィルスの識別ができる定義情報をデータベース化しておき、それと照合して一致すればウィルスであると判別する手法です。

ヒューリスティック

ウィルスは、挙動などに一定の特徴があります。ヒューリスティックと呼ばれる手法では、ウィルスに特徴的な挙動をあらかじめ登録しておき、そうした特徴に合致するプログラムが見つかった場合に危険なものと判断するものです。この手法を使うと、未知のウィルスや、亜種、変種などにも対応できるメリットがあります。

ビヘイビア

調査対象となるプログラムを実際に実行することで、その振る舞い(ビヘイビア)を見て、危険なものかそうでないかを判断する検知手法です。この手法が「振る舞い検知」です。

振る舞い検知とパターンマッチング方式の違い

従来、ウィルス検知には「パターンマッチング」と呼ばれる手法が使われることが一般的でした。この方法と、新しい「振る舞い検知」という方法とはどのように違うのでしょうか。

振る舞い検知 プログラムの不審な動きやウィルス特有の特徴から、ウィルスである可能性が高いと判断している
パターンマッチング プログラムをウィルスの情報を集めたデータベース(パターンファイル)と照合し、一致すればウィルスと判断している

つまり、パターンマッチングがデータベースと照合することで「間違いなくウィルスである」という判断をしているのに対して、振る舞い検知では、挙動や特徴から「ウィルスである可能性が高い」という判断をしているという違いがあります。

振る舞い検知のメリット

振る舞い検知を使うことで、従来のパターンマッチング方式によるウィルス検知と比べてどういったメリットがあるのでしょうか。

  • 未知のウィルスにも対応できる
  • 変種や亜種にも対応できる
  • パターンファイルが必要ない

このように、従来のウィルス対策ソフトと異なり、未知のウィルスにも対応できるというメリットがあります。また、パターンファイルの更新が必要ないということも、ネットワークに負荷を与えない、という点や、インターネットに繋がらない端末での更新の手間がなくなるというメリットもあります。

振る舞い検知のデメリット

多くのメリットがある振る舞い検知ですが、逆にデメリットはないのでしょうか。従来のパターンマッチ方式と比べると、振る舞い検知には以下のようなデメリットがあります。

  • 100%確実にウィルスのような不正プログラムであると断定することが難しい
  • 正常なプログラムを不正なものと誤検知してしまう可能性がある

このように、確実に不正なプログラムと断定することが難しいばかりか、全く問題のないプログラムが場合によってはウィルスと判断されてしまうことがあります。

まとめ

これまでのウィルス対策ソフトには、「未知のウィルスには対抗できない」といった大きな欠点がありました。それは、パターンファイルなどのウィルスの情報を集めたデータベースとプログラムを照合し、一致すればウィルスである、という検知方法を取っていたためです。この方法では、データベースにない新しいウィルスが検知できないのは当然です。

この問題を解決するのが、今回紹介した「振る舞い検知」です。振る舞い検知では、実際のプログラムの動作を確認し、「不審な動きをしている」などウィルスが持つ特徴に合致する場合にウィルスであると判断します。これにより「未知のウィルスでも検知できる」などのメリットがあります。ただし、「問題のないプログラムをウィルスであると誤検知してしまう」例もあり、100%と言えるものではありません。

しかし、未知のウィルスでも対応できるというのは最近の急増するサイバー攻撃から情報システムを守るためにはとても有効な機能です。ウィルス対策ソフトを選択する際には、ぜひこうした機能を持つものを利用するようにしましょう。


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。