振る舞い検知とは?巧妙化するマルウェア攻撃と対策法3選

ふるまい検知とは?巧妙化するマルウェア攻撃と対策法3選

毎年のようにどこかの企業が感染し、騒がれるマルウェア。
セキュリティ企業や組織、研究機関によると1日に何千、何万、あるいはそれ以上のマルウェアが検出される可能性があると言われています。マルウェア感染によって重要なデータが暗号化され、復旧ができなくなってしまうという話もあります。
マルウェア感染について調べてみると、他にも様々な企業が感染し、大小の被害を被っており、ますます対策の必要性が高くなってきています。
本記事では、マルウェアとその対策として有効な振る舞い検知についてご紹介します。

1.マルウェアとは

まず初めにマルウェアとは何かですが、マルウェアとは不正かつ有害な動作を行うために作成された悪意のあるソフトウェアやコードの総称であり、その中にはウイルスやワーム、スパイウェアなどがあります。これらのマルウェアに感染してしまった場合、感染したPC内のファイルを改ざん、公開されるケースや、保存してあったクレジットカードなどの情報が流出してしまうケースなどの被害が発生してしまいます。
最近ではテレワーク中のPCを狙ってマルウェアに感染させ、その後出社し社内ネットワークに接続した際に社内にマルウェアを広めるという、今の働き方を狙い撃ちするようなマルウェアまで発見されており、対策は必須です。

2.マルウェア対策の3つの手段

では、そのような被害から企業を守るためにはどのような対策をとらなければならないのでしょうか。ここでは3つの手段でのマルウェア対策をお伝えします。

2-1.ウイルス対策ソフトによる対策

おそらく最も多くの企業が取り組んでいるマルウェア対策が、ウイルス対策ソフトによる対策です。マルウェア対策と聞き、この対策を思いついた人は多いことと思います。

ウイルス対策ソフトは、パターンファイルと呼ばれるウイルスの情報が記録されたデータベースを用いて、そこに記録されているウイルスを検知し対策をとるものです。
パターンファイルに記録されているウイルスであれば自動で検知、排除を行ってくれるため、既に世に広まっているマルウェアであれば感染を防ぐことができます。

しかし、裏を返せばパターンファイルに記録されていないウイルスは対策が難しいということであり、そのうえマルウェアは日々新しいものが作成され続けていることから必ずパターンファイルに記録されていないウイルスが存在することになります。
パターンファイルが最新に保たれているかの確認も当然必要になりますし、これだけに頼ればよいと言えないのが現実です。

ウイルス対策ソフトのバージョン診断にはISM CloudOneの自動脆弱性診断がおすすめ>>

2-2.振る舞い検知による対策ー振る舞い検知とは?

次にお伝えする対策は振る舞い検知です。
振る舞い検知とは、次世代アンチウイルス(NGAV)に組み込まれた機能であり、プログラムの活動・振る舞いを監視することで、異常な動作や攻撃的なパターンを検出する仕組みです。
別名ヒューリスティック検知とも呼ばれ、怪しい動きを検知した際にそれがマルウェアかそうでないかを判断せずに動作を停止させることでマルウェアの感染を防ぎます。

振る舞い検知は静的ヒューリスティック法と動的ヒューリスティック法を組み合わせて使用し、プログラムのコードや構造、実行時の挙動を評価してマルウェアを検出します。

先に述べたウイルス対策ソフトが、あらかじめ入手したウイルスの情報をウイルス対策ソフトに覚えさせ感染を防ごうとするのに対し、日々新しく生み出されるウイルスに対しては、それがウイルスという情報がなくとも対処できる振る舞い検知が有効な場面が多くあります。

一方で振る舞い検知にも注意点があり、不審な挙動をするプログラムをマルウェアと判定するため、場合によっては業務上必須のソフトウェアが怪しいと判断され止まってしまい業務に支障が出ることもあります。そのため振る舞い検知の運用にはあらかじめ問題のないソフトウェアを指定し、検知対象から外すなどの設定が必要になるでしょう。

【関連記事】図で解説!振る舞い検知とEDRの違いとは?>>

2-3.EDR(Endpoint Detection and Response)による対策

最後にご紹介するのがEDRによるマルウェア対策です。最近よく聞く単語であり、このEDRを運用してみようと考えている方も中にはいるのではないでしょうか。

EDRとは、PCやサーバー、プラットフォームなどのエンドポイントを監視し、操作や動作などからマルウェアに感染したことが発覚し次第対処するものです。

しかし、EDRには運用に人手や工数が多くかかるというデメリットがあります。EDRは感染経路を特定するためのログを管理者に提供する機能がありますが、実際の経路を特定したり、対策を行うのは人の手で行う必要があります。この作業は専用のアナリストのような人材が必要となり、結果として振る舞い検知などと比べ大きなコストがかかってしまいます。

3.振る舞い検知とEDRの違い

振る舞い検知とEDRには、マルウェア対策の手段として明確な違いがあります。

振る舞い検知はマルウェアへの感染を事前に防ぐことを目的とするのに対し、EDRは感染後の被害の増加を防ぐことを目的とします。

EDRという言葉がよく聞かれるようになり、これを用いてマルウェア対策しようとする企業が増えつつあります。しかし2-3.で述べたようにEDRは運用に人手も工数も多くかかるため、まずは運用が簡単で手が付けやすい振る舞い検知によるマルウェアの入口対策からしっかりと始めてみてはいかがでしょうか。

4.働き方にとらわれないマルウェア対策

当社の扱うISM CloudOneにも振る舞い検知が搭載されており、クラウド型であるため社外ネットワークにPCが持ち出された際もマルウェアからPCを守ることができるようになっています。マルウェア対策に人手・工数がかけられない、PCを社外に持ち出すことが多い企業の方はぜひISM CloudOneをご検討してみてください。