　理由としては、マルウェア制作のハードルが比較的容易になる中でバリエーションの開発サイクルが非常に短く、かつ特定のターゲットを狙った攻撃が増加するなど、単純な広域拡散を想定していないケースが多いからだと予想される。つまり、マルウェアが発見されてから逐一対策する手法では、こうしたトレンドに対応できない。

　ここで重要になるのは、いかに未知のマルウェアへの対策を行い、もし万が一感染したマシンが発見されても、そこを踏み台に拡散しないよう素早く対策を行うかという点だ。特に後者については、クラウドを通じて素早く感染情報を把握し、リアルタイムでマシンの防御力を維持する仕組みが重要になる。

　Windows 10に搭載された「Windows Defenderウイルス対策」では、「Creators Update（1703）」以降に全てのPCで「クラウド保護」の機能が有効になっており（「Anniversary Update（1607）」ではオプションにて有効可能）、クラウドを通じてリアルタイムでほぼ最新の対策データが共有され、大規模拡散タイプの脅威を未然に防ぐことが可能だ。

進化するWindows Defenderでのマルウェア対策。「Fall Creators Update（1709）」ではクラウド保護に加えて、機械学習型エンジンが搭載されている

　クラウド保護とはどのような仕組みなのだろうか。Windowsでは「テレメトリー（Telemetry）」と呼ばれる手法により、全てのマシン上で動作状況を定期的にモニタリングする仕組みが導入されているが、クラウド保護ではこの仕組みをウイルス対策に利用する。

　新規ファイル実行時にクラウド保護が呼び出され、これが未知のファイルだと判断された場合、クラウド側にある「Threat Intelligence」の仕組みがファイルを実行しようとしたマシンに対してサンプルの送信を要求し、分析後に対策結果を返答するのだ。

　この対策状況はクラウド保護に対応する全てのマシンですぐに共有されるため、特定マシンでの危険なファイル実行を未然に防ぐだけでなく、すぐに全てのマシンでその結果が共有される。一連の動作に必要な仕組みはテレメントリーを利用する関係上、通信回線にほとんど影響を与えないレベルのデータ送受信しか行われないため、当該マシンがインターネットに接続されている限りは、ほぼ自然な形で保護が継続中であると考えていい。

Windows Defenderクラウド保護の仕組み

　「事前に検知して被害を未然に防ぐ」というのはマルウェア対策の基本で、これまでの対策はこの手順をほぼ踏襲しており、今後も変わりはない。実際、Windows Defenderウイルス対策に施された最新機能の数々は、この事前検知と予防に焦点を当てている。

　一方で、現状の特定ターゲットを狙った攻撃の場合、いったん踏み台となるマシンの乗っ取りを完了させる、あるいは次の攻撃に必要なデータを入手した後、そこを踏み台として本来のターゲットへの侵入を試みるという多段階攻撃が行われることになる。つまり、会社組織のネットワークを狙う攻撃においては、感染後の対策の重要度が増すわけだ。

　次の項ではこの辺りを少し詳しく見ていく。