未知のマルウェアを阻止する「振る舞い検知」技術の今

未知の脅威からシステムを保護する「振る舞い検知」技術。攻撃の進化に合わせて、技術も変化するとシマンテックは解説する。

[國谷武史，ITmedia]

　アンチウイルスなどのセキュリティ対策ソフトは、新たな脅威が発見されると、感染の防止と駆除をするための定義ファイルが作成され、ユーザーに配布される。しかし、定義ファイルが提供されるまで、ユーザーは実質的に無防備な状態に置かれてしまう。そこで、解析前の未知の脅威からの攻撃を防ぐ手段として開発されたのが、「振る舞い検知」技術だ。

　振る舞い検知技術の名称は、セキュリティベンダーによって「ヒューリスティック分析」や「ジェネリック検知」など異なる。米Symantecで振る舞い検知技術の開発に携わる、ビヘイビア分析検知エンジン担当アーキテクトのマーク・オブレック氏は「呼び名が違っても、未知の脅威を検出してシステムを保護するのが各技術の共通した目的」と説明する。

「TruScan」が検知する脅威

　同社では、振る舞い検知技術を「ビヘイビア分析技術」と呼び、コンシューマー向けには「Sonar」の名称でNorton 360などに、企業向けには「TruScan」の名称でSymantec Endpoint Protectionに、それぞれアプリケーションとして実装している。TruScanには、企業ユーザー向けに管理者への通知機能や対応策を管理者が選べるといった機能を追加しているという。

　振る舞い検知は、一般的にシステム内部のプログラムの挙動を常時監視し、正規プログラムにはないような不審な挙動を発見すると、その挙動を阻止する。TruScanでは、実行中のすべてのプロセスを対象に、検知モジュールが各プロセスの挙動を分析する。プロセスごとにスコアリングをし、それらの総合点で悪意のあるプログラムかどうかを判定する仕組みだ。

　検知モジュールは、「正規プログラムの挙動」と「悪意のあるプログラム」の2つの観点でプロセスをスコアリングする。分析するポイントは数百種類以上あり、例えば「多言語対応かどうか」や「ヘルプ機能があるかどうか」といったものがある。「多言語化やヘルプ作成は非常に労力と手間のかかる作業なので、攻撃者はそこまでしないだろうという1つの目安になる。もちろんこうした機能が偽装されていても、ほかの基準で動作を阻止する」（オブレック氏）

検知モジュールで設定されている判定基準の一例

　しかし、振る舞い検知技術は解析された脅威を対象とするわけではないため、正規プログラムのプロセスを誤って判定してしまう場合もある。オブレック氏は「未知に対処できる反面、当然リスクはある。振る舞い検知はなるべく一般的な視点でもって分析をするため、システムリソースへの影響が小さいのが特徴だ」と話す。

　TruScanの場合、アンチウイルスやパーソナルファイアウォール機能などと連動して動作するために、実際に正規プログラムの判定を誤るケースは少ないという。誤判定率は、研究室のテスト環境で1％未満、ロールアウト時のフィールドテストでは5％前後という結果になった。

攻撃の質が変わると検知も変わる

　PCやインターネット利用者を狙った攻撃は近年、利用者のIDやパスワード、銀行口座の番号やクレジットカード番号など、金銭につながる情報を標的にするケースが急増中だ。かつては、感染の事実を知らしめる愉快犯的な攻撃やシステムの破壊を狙う攻撃が目立ったが、セキュリティベンダー各社は「攻撃者の目的が変化している」と警鐘を鳴らす。

　また、攻撃手法の多様化や巧妙化が進み、未知の脅威が発見されるペースや量も増加の一途をたどっている。「発見してから対処する従来型のセキュリティ対策が難しくなり、振る舞い検知は新たな脅威からシステムを守る有効な手段になりつつある」とオブレック氏は話す。

　攻撃の質の変化に合わせ、TruScanでも古くなった検知モジュールの差し換えや新しい検知モジュールの追加など、検知・分析の基準を常に変更している。これらの取り組みで、現在ではボットやマルウェアの検知率は約80％、キーロガーでは約95％、トロイの木馬では約98.5％となった。

　今後は、非プロセス型の脅威やアドウェアなどに対応できるようにしていくという。