ふるまい検知とは?巧妙化するマルウェア攻撃と対策法3選

毎年のようにどこかの企業が感染し、騒がれるマルウェア。
マルウェア感染によって重要なデータが暗号化され、復旧ができなくなってしまうという話もあります。
マルウェア感染について調べてみると、他にも様々な企業が感染し、大小の被害を被っており、ますます対策の必要性が高くなってきています。

1.マルウェアとは

まず初めにマルウェアとは何かですが、マルウェアとは不正かつ有害な動作を行うために作成された悪意のあるソフトウェアやコードの総称であり、その中にはウイルスやワーム、スパイウェアなどがあります。これらのマルウェアに感染してしまった場合、感染したPC内のファイルを改ざん、公開されるケースや、保存してあったクレジットカードなどの情報が流出してしまうケースなどの被害が発生してしまいます。
最近ではテレワーク中のPCを狙ってマルウェアに感染させ、その後出社し社内ネットワークに接続した際に社内にマルウェアを広めるという、今の働き方を狙い撃ちするようなマルウェアまで発見されており、対策は必須です。

2.マルウェア対策の3つの手段

では、そのような被害から企業を守るためにはどのような対策をとらなければならないのでしょうか。ここでは3つの手段でのマルウェア対策をお伝えします。

2-1.ウイルス対策ソフトによる対策

おそらく最も多くの企業が取り組んでいるマルウェア対策が、ウイルス対策ソフトによる対策です。マルウェア対策と聞き、この対策を思いついた人は多いことと思います。

ウイルス対策ソフトは、パターンファイルと呼ばれるウイルスの情報が記録されたデータベースを用いて、そこに記録されているウイルスを検知し対策をとるものです。
パターンファイルに記録されているウイルスであれば自動で検知、排除を行ってくれるため、既に世に広まっているマルウェアであれば感染を防ぐことができます。

しかし、裏を返せばパターンファイルに記録されていないウイルスは対策が難しいということであり、そのうえマルウェアは日々新しいものが作成され続けていることから必ずパターンファイルに記録されていないウイルスが存在することになります。
パターンファイルが最新に保たれているかの確認も当然必要になりますし、これだけに頼ればよいと言えないのが現実です。

>>ウイルス対策ソフトのバージョン管理にISM CloudOne

2-2.ふるまい検知による対策

次にお伝えする対策はふるまい検知です。
ふるまい検知とは別名ヒューリスティック検知とも呼ばれ、怪しい動きを検知した際にそれがマルウェアかそうでないかを判断せずに動作を停止させることでマルウェアの感染を防ぎます。

ウイルス対策ソフトがあらかじめ入手したウイルスの情報をウイルス対策ソフトに覚えさせ感染を防ごうとするのに対し、日々新しく生み出されるウイルスに対しては、それがウイルスという情報がなくとも対処できるふるまい検知が有効な場面が多くあります。

一方でふるまい検知にも注意点があり、不審な挙動をするプログラムをマルウェアと判定するため、場合によっては業務上必須のソフトウェアが怪しいと判断され止まってしまい業務に支障が出ることもあります。そのためふるまい検知の運用にはあらかじめ問題のないソフトウェアを指定し、検知対象から外すなどの設定が必要になるでしょう。

2-3.EDR(Endpoint Detection and Response)による対策

最後にご紹介するのがEDRによるマルウェア対策です。最近よく聞く単語であり、このEDRを運用してみようと考えている方も中にはいるのではないでしょうか。

EDRとは、PCやサーバー、プラットフォームなどのエンドポイントを監視し、操作や動作などからマルウェアに感染したことが発覚し次第対処するものです。

しかし、EDRには運用に人手や工数が多くかかるというデメリットがあります。EDRは感染経路を特定するためのログを管理者に提供する機能がありますが、実際の経路を特定したり、対策を行うのは人の手で行う必要があります。この作業は専用のアナリストのような人材が必要となり、結果としてふるまい検知などと比べ大きなコストがかかってしまいます。

3.ふるまい検知とEDRの違い

ふるまい検知とEDRには、マルウェア対策の手段として明確な違いがあります。

ふるまい検知はマルウェアへの感染を事前に防ぐことを目的とするのに対し、EDRは感染後の被害の増加を防ぐことを目的とします。

EDRという言葉がよく聞かれるようになり、これを用いてマルウェア対策しようとする企業が増えつつあります。しかし2-3.で述べたようにEDRは運用に人手も工数も多くかかるため、まずは運用が簡単で手が付けやすいふるまい検知によるマルウェアの入口対策からしっかりと始めてみてはいかがでしょうか。

4.働き方にとらわれないマルウェア対策

当社の扱うISM CloudOneにもふるまい検知が搭載されており、クラウド型であるため社外ネットワークにPCが持ち出された際もマルウェアからPCを守ることができるようになっています。マルウェア対策に人手・工数がかけられない、PCを社外に持ち出すことが多い企業の方はぜひISM CloudOneをご検討してみてください。