第24回 マルウェアの96％は「使い捨て」――マイクロソフトが3カ月分析して分かったこと：変わるWindows、変わる情シス（1/2 ページ）

マイクロソフトが3カ月の間マルウェアを分析したところ、マルウェアのうち、実に96％が“使い捨て”であるという事実が分かりました。今回は、アンチウイルスソフトだけではマルウェアを防げない実態を紹介します。

[山本築，ITmedia]

　「ウイルス対策ソフトは死んだ」――。セキュリティに携わる人であれば、一度は聞いたことがある言葉だと思います。2014年にセキュリティベンダー、シマンテックの幹部が発した言葉です。

　昨今、マルウェアの数は爆発的に増えています。それは既存のマルウェアのプログラムを少し変えた“亜種”が大量に出回っているためです。

　今やマルウェアと言えば、ポリモーフィック型という、自己複製を行う際に自身のコードを改変し、定義ファイルベースのアンチウイルスソフトでの検知をすり抜けるような行動をするものがほとんど。マルウェアの亜種が発生して、アンチウイルスソフトが破られた場合、最初の4時間で端末の約3割が感染し、攻撃は約7時間で終了するというデータもあるのです。

定義ファイルが更新される前に、攻撃は終わってしまうのが実情です

「見たことがないマルウェア」に対応するために

　こうした脅威に対抗するため、Windows 10ではCreators Updateで、Windows Defenderに新機能「Block at First Sight」を追加しました。簡単に言えば、定義ファイルが更新される前に、事前ブロックをしてしまうという機能で、無償で利用できます。そのブロックは次のようなプロセスで行われます。

1. クライアントが、アンチウイルスの定義ファイルに載っていないファイルを実行
2. 未知のファイルであれば、サンプルを要求
3. サンプルのチェックを行い、クラウド上でのビッグデータ解析によりマルウェアを認定する
4. 定義ファイルを作成し、クライアントに送付する
5. 以上の情報をもとに、他のユーザーにも適応

事前ブロックは5つのプロセスで行われます

　こうした一連のプロセスを10秒程度で行うことができます。今この瞬間も、マイクロソフトでは事前ブロック機能が動作し続けており、毎日450万ファイルを分析しています。米Microsoftは、実際にランサムウェアを防いだ事例も紹介していますが、分析を続ける中で分かったことがあります。

　世の中にはびこるマルウェアのうち、実に96％は、1度しか使われることのない“使い捨て”であるということです。