ニュース
2004/04/23 14:01 更新


「ビヘイビア法に注目」、IPAが未知のウイルス検出技術に関する報告書

情報処理推進機構セキュリティセンターが、未知ウイルス検出技術に関する調査報告書と実験報告書をまとめ、公開した。

 情報処理推進機構(IPA)セキュリティセンターは4月21日付けで、未知ウイルス検出技術に関する調査報告書実験報告書をまとめ、公開した。

 最近では、脆弱性が報告されてからウイルスが登場するまで、またウイルスが登場してから広く蔓延するまでの期間がどんどん短くなっている。今なおウイルス対策ソフトウェアで主流となっているパターンマッチング法による検出では、速やかな対応、削除が困難であるという問題点が指摘されてきた。今回の調査はそういった背景を踏まえ、IPAの2003年度の公募事業の1つとしてまとめられた。実際の調査作業は北陸日本電気ソフトウェアが委託を受けて行っている。

 一連の調査報告では、未知のウイルスを検出する技術として、チェックサム/インテグリティチェック法、ヒューリスティック法、ビヘイビア法などが紹介され、それぞれの手法について詳しく解説されている。特に、ウイルスをあえて動作させた上で挙動を観察するビヘイビア法については、「現在もっとも注目されるべき技術」と指摘。これと、過去からの蓄積のあるパターンマッチング法との併用が「ウイルス対策システムの主流であることは間違いない」としている。

 ちなみにこの報告書では、ホスト型/ネットワーク型双方の不正侵入検知システム(IDS)についてもまとめている。IDSも、過去は一定のパターン(シグネチャ)との照合で不正アクセスを検出するタイプが多かったが、最近ではプロトコル異常検出やアノーマリ分析といった機能を備えた製品が増えてきた。こうした機能を活用すれば、「ウイルスに感染したコンピュータが次の対象を探すためのスキャン行動や、増殖のためメールを使用することによるトラフィック増加などを検知する異常検出型の侵入検知手法に効果がある」といい、ちょうどウイルス検出におけるビヘイビア法に相当するという。

 なお、もう一方の実験報告書には、上記調査を踏まえて作成されたウイルス検出プログラムのプロトタイプを用いての実験結果がまとめられている。このプロトタイプは、ポートおよびローカルディレクトリに対する動作を監視。ファイルに変化が見られた場合、危険な兆候とみなして警告するというもので、11ファミリー20検体中、5ファミリー8検体を検出することができたということだ。ただ一方で、「ポートへのアクセスを行わないウイルスは検出できない」「監視ディレクトリの設定によって検出精度が左右される」「Slammerのようにメモリ内でのみ活動するウイルスは検出できない」といった課題も明らかになった。

関連リンク
▼IPA:未知ウイルス検出技術に関する調査

[ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.