アンチウイルスソフトはどう動いているのか? パート②

前回に引き続き、アンチウイルスソフトはどう動いているのか?について進めていこうと思う。
今回は、アンチウイルスはどうやってウイルス検知するのか?を見ていく。

アンチウイルスソフトはどうやってウイルスを検知するのか?

よく知られているウイルスにはウイルス定義を利用し、新しいウイルスや改変されたウイルスの検知にはヒューリスティック検知を行う。
どんなメカニズムがアンチウイルスソフトにウイルスを検知させ、悪意のないファイルから完全に区別させているのだろうか?
ウイルス定義とは何か?・アンチウイルスがマルウェアを検知する方法・アンチウイルスがヒューリスティック検知を行う方法を見ていこう。

ウイルス定義

アンチウイルスソフトはマルウェア検知のために非常にウイルス定義に依存している。これはマルウェア検知の中でも最も伝統的な方法である。ウイルス定義はマルウェアの種類を決定するために使用されているシグニチャを含んでいる。新たなマルウェアは毎日すごい勢いでリリースされており、ウイルス定義も同じようにどんどん更新されている。大きいアンチウイルスソフトベンダーになればなるほど、新しいマルウェアのための新たな定義やシグニチャを開発するために、より新しいマルウェアが研究されているアンチウイルスラボに投資している。これは、何百万もの新たなマルウェアが毎年リリースされているので、大変費用のかかるプロセスである。最新のウイルス定義なしにあなたのアンチウイルスソフトが最新のマルウェアを検知することは不可能だろう。これらの理由から、アンチウイルスベンダーの大多数が1日に数回もマルウェア定義をアップデートしているのである。

ヒューリスティック検知

ヒューリスティックベース検知は既知だが修正されたマルウェアの検知のためにウイルス定義と併せて使われている。修正されたマルウェアのためのウイルス定義がないアンチウイルスソフトだとしても、マルウェアのバリエーションは識別でき隔離用のフォルダに置くことが出来る。アンチウイルスはこの目的から包括的なシグニチャ検知を利用し、異なるフィンガープリントだが確かに同じ悪意のあるコードを持つマルウェアとして説明されうるマルウェアを検知する。

アンチウイルスソフトにとってのもう一つの方法は、例えば、実行ファイルがあるファイルを変えるか削除する構成を持つかどうかを見るためにファイル分析を行うことである。正規のソフトウェアは重要なシステムソフトを修正したり削除しようとはしないので、この振る舞いは悪意ある行動として考えられ、マルウェアと考えられるだろう。

フォルスポジティブ

ヒューリスティック検知でのウイルス検知の大きな影の部分はフォルスポジティブである。

フォルスポジティブとは、アンチウイルスソフトがそうではないファイルかプログラムを悪意のあるものや脅威としてと示してしまう誤検知のことである。コンピュータの日常的な使用においては、めったに遭遇しない。だが、数多くのソフトウェアを利用していたら、フォルスポジティブは起きるかもしれない。通常、もしあなたのアンチウイルスソフトがファイルが悪意があると主張したら、その主張自体も悪意であると考えるべきだといわれている。

もし、フォルスポジティブに遭遇し、あなたが100%の確信を得たいのであれば、分析のためにVirusTotalにファイルをアップロードしてみるとよい。VirusTotalはそのファイルをスキャンし、ほかのアンチウイルスソフトがそのファイルをどう診断するかを見せてくれるだろう。

どのアンチウイルスソフトを買うべきか?

アンチウイルスソフトウェアの数以上にアンチウイルスベンダーがある。よくアンチウイルスソフトに関しては、フリーのものよりは購入したもののほうが良いと言われている。当たり前のことだが、有償のアンチウイルスソフトはウイルス感染、エクスプロイト、ハッカーに対するよりよい防御をフリーソフトよりも提供する。現在アンチウイルスベンダーのアワード獲得者はBitdefender, ESET, Norton, F-Secure, Kasperskyであるので、これを参考にしていただければと思う。

  • このエントリーをはてなブックマークに追加
  • Pocket