振る舞い検知とは、ウィルス対策ソフトなどマルウェアを検出するソフトウェアに使われる仕組みで、挙動から悪意あるプログラムを検出するものです。
今まで知られていないマルウェアも挙動から識別でき、未知の攻撃に対抗する効果があります。
振る舞い検知の仕組や、利用することによるメリット・デメリットについて解説します。
振る舞い検知とは
振る舞い検知は、マルウェアを検出する仕組みの一つです。挙動から悪意あるプログラムを識別します。
マルウェアの挙動、すなわち振る舞いからマルウェアとして識別したプログラムを検出することができるので、今まで知られていないマルウェアも検出することができます。
例えば、自分をコピーして増殖している重要なファイルを置き換える・コピーする・削除する、外部と通信している、といった挙動から、悪意ある攻撃であると認識したプログラムをマルウェアとして検出することができるのです。
振る舞い検知技術が開発された背景には、マルウェアによる攻撃がより悪質かつ高度になったことがあげられます。マルウェアには、トロイの木馬に、より悪質なマルウェアを仕込んで攻撃するもの(Emotetなどはその例)、通信により外部からの遠隔操作で動くことができるもの、あるいは、長い間目立った攻撃はせず、潜伏するものなど、複合的な技術を用いたものが多く見られます。
こうした悪質化・高度化したマルウェアには、従来のパターンを認識して既知のマルウェアを検出する仕組み(パターンマッチング)では追い付かないのが課題でした。
振る舞い検知は、マルウェアの動きをいくつも組み合わせて分析することや、ある程度の期間観察したのちに検知することが可能であり、一連の動きからマルウェアを総合的に識別することができる点が特徴です。この特徴のため、それまで主流であったパターン検知では検知できないマルウェアも検知することができます。
また、複雑多様化するサイバー攻撃のリスクに備え、LRMでは企業のセキュリティ担当者さま向けに代表的なサイバー攻撃を10個まとめた資料をご用意しています。
こちらから無料でダウンロードしていただけますので、ぜひご活用ください。
振る舞い検知の仕組み
振る舞い検知の仕組みは、大きく分けて二種類あります。
- 静的ヒューリスティック法
- コードを読み取ってマルウェアを検出
- 動的ヒューリスティック法
- マルウェアを動かして挙動から悪意ある攻撃を認識、マルウェアを検出
静的ヒューリスティック法では、マルウェアのコードと、読み取ったプログラムのコードを比較して、類似したプログラムをマルウェアと認識します。
動的ヒューリスティック法では、実際にプログラムを動かして、動きによりマルウェアを検知するのです。
通常、振る舞い検知を用いるウィルス対策ソフトなどのソフトウェアでは、これらの方法を組み合わせて、より多くのマルウェアを検知できるようにします。
最初に静的ヒューリスティック法により、マルウェアを検知、静的ヒューリスティック法で安全性が確認できなかったプログラムを動的ヒューリスティック法でさらに確認し、マルウェアを検知します。このように二段階で確認することにより、システムに負荷をかけずに、検出の確度を上げることができるのです。
振る舞い検知には、AI技術を組み合わせて利用することが多くみられます。自動化・機械学習を行い、より早く、確実に検出することができるように工夫されているのです。
振る舞い検知とパターンマッチングの違い
マルウェアの検知の仕組みには、振る舞い検知のほかパターンマッチングがあります。
パターンマッチングでは、あらかじめマルウェアをパターンとして記憶しておき、パターンに合致するプログラムをマルウェアとして認識し、検出することができます。
パターンマッチングでは、既知のマルウェアであればそのパターンをデータベースにアップロードしている限り、検出は確実といえるでしょう。
その一方で、パターンマッチングには既知のマルウェアしか検出できないという限界があります。さらに、常にパターンは最新化し、データベースにアップロードする必要もあります。この点、振る舞い検知では未知のマルウェアも検出することが可能であり、パターンは最新化する必要はありません。
振る舞い検知のメリット
振る舞い検知の第一のメリットは、未知のマルウェアも検出できることです。それまでの主流であったパターンマッチングでは、すでに知られているマルウェアしか検出できません。また、パターンから外れる亜種・変異種などにも弱いところがデメリットでもありました。
未知のマルウェアにも対抗できることにより、セキュリティの大きな脅威であるゼロデイ攻撃にも対抗することができ、新しいマルウェアと検出技術の「いたちごっこ」をある程度緩和することができると考えられます。
また、振る舞い検知を行うことにより、新しいマルウェアのパターンを検出ソフトウェアのデータベースにアップロードする手間が省けます。パターンを更新しなかったことにより検出漏れが生じる心配もなく、メンテナンスの手間もかかりにくいとされている点はメリットです。
振る舞い検知のデメリット
振る舞い検知は、マルウェアの誤検出が多いというデメリットがあります。マルウェアは正常なソフトウェアと表面上同じような動きをするので、潜伏してしまいやすい性質があります。
そのため、マルウェアの挙動からマルウェアを漏れなく認識するためには、正常なソフトウェアも挙動からマルウェアとして認識することが一定程度は必要となってしまいます。
こうした誤検出のデメリットをできるだけ小さくするためには、他の仕組との併用が有効と考えられます。例えばサイトやソフトウェアのレピュテーション情報を利用することや、パターン検知との組み合わせ、あるいはホワイトリストに入っているプログラムは除外できるようにするなどの工夫により確度を上げることが必要です。
さらに、振る舞い検知は、システム負荷が高いというデメリットもあります。振る舞い検知ソフトウェアを稼働させるマシンは処理スピードが遅くなりがちです。
加えて、振る舞い検知もある程度の期間、継続して検知することは可能であるものの、長期間にわたって潜伏するマルウェアには効果が薄くなりがちな点がデメリットとされます。
このように振る舞い検知も唯一万能の手段とまでは言えませんので、エンドポイントでのマルウェアの水際でのブロック、VPNなどの安全な通信の確保、あるいはIPS/IDSなどによりマルウェアの侵入経路のブロックなど、いくつかの技術を組み合わせて対策することが必要と考えられます。
まとめ
振る舞い検知は、未知のマルウェアを検出可能にする点で、進化するサイバー攻撃の有力な対抗策になると考えられます。一方で振る舞い検知も万能の手段とは言えませんので、パターンマッチング・ホワイトリスト方式など、他のマルウェア検知の仕組みを組み合わせて利用することで精度を上げることが必要です。
さらに、エンドポイントセキュリティなどの他のセキュリティ技術との組み合わせにより、マルウェアの防御を固めることにより、セキュリティ体制をより強固なものとする必要もあることに留意しておきましょう。
また、身近で危険なサイバー攻撃10選をまとめた資料はこちら。