インタビュー
» 2011年07月29日 16時51分 UPDATE

進化するビヘイビア技術:次世代「Norton」を強化する「SONAR 4」の新機能 (1/2)

次期Norton製品には、ビヘイビア技術「SONAR」の最新バージョンが搭載されるという。SONAR 2から開発に携わっているアーキテクトのシェーン・ペレイラ氏に話を聞いた。

[小林哲雄,ITmedia]

2011年秋ごろに発売予定の次世代Norton製品は、「Insight 3」や新しく作り直された「Norton ID Safe」など、「どうしたら毎年、こんな大改編ができるのだろう?」と思わせるほどの改良が施されている。

 今回、次期Norton製品に搭載されるSONAR(Symantec Online Network for Advanced Response)の最新バージョン「SONAR 4」について、SONAR 2から開発に携わっているアーキテクトのシェーン・ペレイラ(Shane Pereira)氏に話を聞いた。

多重チェックをかけるNorton製品

og_norton_002.jpg 有償製品の場合、多重チェックが当たり前になっている。他社製品でも複数のスキャンエンジンを使うなど、異なる技術を複合的に採用している

 「アンチウイルスソフト」はPCを買ったらどうしても必要となるソフトウェアの1つだ。個人利用であれば、MSE(Microsoft Security Essentials)のように無料で提供されている製品を使うことも考えられるが、有料の製品は一般的に高い検知機能を備え、サポートを受けられるといったメリットもある。

 Norton製品の場合、プログラムのマルウェア判定に関しては、シグネチャベースのスキャンに加えて、挙動ベースのSONAR、そして2009年から導入されたレピュテーション技術のInsightと、多層的にチェックする仕組みになっている。

 ただ、ここ数年はレピュテーション技術が盛り上がりを見せる一方で、SONARのようなビヘイビア技術はいまひとつ注目されていないような印象を受ける。

 ビヘイビア技術を簡単に説明すると、プログラムのふるまいをチェックして、怪しそうな挙動が多ければマルウェアと判断するものだ。例えば、警官が泥棒を捕まえる際に指名手配書とつきあわせて判断するのがシグネチャだとすれば、(指名手配書にはないが)怪しそうな行動をしていると捕まえるのがビヘイビア技術、と言うことができる。最新のSONAR 4では700の挙動チェックポイントを設けているという。

 SONARはOnline Networkという名前がついているが、インターネット接続のないスタンドアロンでも動作する。SONARは、シマンテックが2005年に買収したWholeSecurityという企業の技術がベースになっており、最初のSONARが登場したのは2007年のこと。それから2009年にSONAR 2が登場し、これ以降は毎年バージョンアップを重ねてきた。2011年秋に投入予定のNorton Internet Security 2012(以下、NIS2012)でも、最新版のSONAR 4が組み込まれる予定だ。それではSONAR 4で実装される新機能を見ていこう。

新機能1、「専門家が作ったふるまいシグネチャが使えるようになる」

og_norton_001.jpg この例ではPC Scoutという偽アンチウイルスソフトが「テンポラリフォルダから起動」→「AVEというレジストリを記録」→「hostinfo.txtを作成」→「Webブラウザのホームを書き換える」という挙動を示しており、Active Securityでも同じ挙動パターンで判別できるということを意味している

 ペレイラ氏によると、SONAR 4には3つの新機能が組み込まれる。第1の新機能が「シグネチャベースのビヘイビアチェック」だ。

 ここ数年、マルウェアの数は爆発的に増大しているが、マルウェアをいちから作るのは労力がかかるので「真に新しいマルウェア」はそれほど増えていないという(マルウェアを難読化するための暗号鍵が違うだけで根本は同じ)。

 その一方で、新種のマルウェアのように見えるが、実はUIを少々書き換えただけの亜種というものも存在する。「偽セキュリティソフト」(Fake AV)がその典型例だ。よくあるのが、インストールした記憶のない体験版アンチウイルスソフトが「ありもしない脅威」を発見し、「削除したいなら体験版でなく有料版を!」と費用支払いのためにクレジットカード番号を要求するというもの。このような「やっていることは大体同じマルウェア」の対抗策に、マルウェア解析者がふるまいベースのシグネチャを作成することができる、というのが今回の新機能になる。

 従来のSONARも人工知能ベースの自動シグネチャがあったが、確実にマルウェアを判定できるのかと言われると少々疑問だった。しかし、マルウェアとして前例のある「○○のようなふるまい」を専門家が解析し、その行動パターンのシグネチャを作ることによって、ビヘイビア技術でありながらより確実性の高い検知が可能になるという。また、個々のプログラムを細かく解析しなくても、ふるまいでシグネチャを作成することが可能なので、対応が早くなるというメリットもある。従来のシグネチャ検出手法はプログラムベースでの解析に基づいたものだが、シグネチャをプログラムベースではなく挙動ベースでも作成できるというのがSONAR 4の最大の魅力といえるだろう。なお、シグネチャをまとめたパターンファイルはLive Updateで随時更新される。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

この記事が気に入ったら
ITmedia PC USER に「いいね!」しよう