料理で覚える!?「ふるまい検知」「ヒューリスティック検知」の機能とは【おしえて!情報セキュリティ Vol.6(中編)】

ウイルス,おしえて!情報セキュリティ,サイバー犯罪,マルウェア

LINEで送る
Pocket

これまでの【おしえて!情報セキュリティ】記事ラインナップはこちらから

前回の記事はこちら:
知っておきたいウイルス検知法「パターンマッチング」のしくみ【おしえて!情報セキュリティ Vol.6(前編)】

野菜だ!キュウリだ!?アンチウイルスだ!
「ヒューリスティック検知」のしくみとは

御堂 さて、前回のお話で「パターンマッチング」を理解いただいたところで、次はついに「ヒューリスティック検知」や「ふるまい検知」を紹介したいとおもいます。

三ツ矢 ……その、家に帰ったら忘れそうなキュウリスティック? とかいうの、何ですか?

御堂 三ツ矢さん、それ野菜です。キュウリではなく、「ヒューリ」です。キュウリも体に良いですが、こちらのヒューリもとっても良い働きをしてくれますよ。

三ツ矢 なんか少しイラっとしました(笑)。で、どう良い働きをしてくれるんですか?その「”ヒューリ“スティック検知」って。

御堂 (うっ……目が笑っていない!)……えーと、ま、まず「ヒューリスティック検知」とは、「パターンマッチング」以外のウイルス検出方法全般を指す名称なんです。そして正しくは、「ヒューリスティック検知」の中のひとつに「ふるまい検知」が含まれるイメージですね。

三ツ矢 うーん、ちょっとわかりにくいです。「ヒューリスティック検知」と「ふるまい検知」って、イコールじゃないんですか

御堂 違います。「ヒューリスティック検知」は、検査対象のファイルを動かして確かめる「動的ヒューリスティック」と、ファイルを動かさずに書かれたデータ内容だけで判断する「静的ヒューリスティック」の2つに大別できます。で、この「動的」のほうが「ふるまい検知」と呼ばれているものなんですね。

三ツ矢 ……あのー、御堂さん? さっぱり何を言っているのかわかりません。お腹すいてるのに、頭だけがいっぱいいっぱいですよ。

御堂 (そうか。お腹がすいているのか……)それはごめんなさい! 聞きなれない言葉ばかりだと頭だけがパンクしちゃいますよね。ではでは、お腹も空きましたし、ここでひとつウイルス検知を料理に例えて考えてみましょう!

料理で考える!?「ヒューリスティック検知」
~「静的ヒューリスティック」と「動的ヒューリスティック」

御堂 データやファイルをレシピ、アンチウイルスソフトを料理人、と考えてみてください。出された料理を食べるお客さんは、さながらコンピュータ本体、といったところでしょうか。料理人はたくさんのさまざまなレシピに目を通し、おいしくてカラダに悪影響のない料理のレシピにGOサインを出しています。

ところが、です。あるとき困ったことに、レシピ考案者がとてつもなく不味くてお腹を壊してしまう失敗作のイチゴタルト(たとえるところのPCウイルスですね)のレシピをつくって料理人に渡してしまった、とします。

ここで料理人が「失敗作の料理名は〈イチゴタルト〉だ」と他の料理人から聞くなどしてわかっていれば、レシピ集から「イチゴタルトのレシピ」を取り除くことができるわけです。これが前回に確認した、「パターンマッチング」のウイルス検出方法ですね。

三ツ矢 なるほどー。でもイチゴタルトでマズいって、どんな失敗なんだろ。私、甘いものなら結構なものでもイケちゃいますけど。

御堂 まあまあ、食い意地はさておき……。では、失敗作の料理が何なのかわからない場合は、どうしたらいいでしょう。

三ツ矢 時間はかかっても、ひとつひとつのレシピを見て探すしかないですよねー。

御堂 探すって、どのように?

三ツ矢 そりゃあ、レシピに書かれた内容を見て、「変なつくり方をしていないか」とか「変な材料を使っていないか」を判断して、できあがりの味を想像する……とかですかね。

御堂 三ツ矢さん、素晴らしい! それですよ、それっ! 「静的ヒューリスティック」のしくみは、まさにレシピを見て、変な味にならないか、つくり方は正しいかなどを見て、実際に料理をつくらずにレシピの安全性を確かめるようなものなんです。

三ツ矢 「静的」って、実際に料理をつくる動きをするわけではない、ってことですね。とすると「動的」のほうは、実際に料理をつくってみること?

御堂 んーっもう、三ツ矢さん、ワンダホーっ! パーフェクトです!

三ツ矢 はは……(なに、このリアクション……)。

御堂 そう、レシピを見ても正体がわからないなら、実際に料理をつくって味見してみればいいんです。そして、味見する。不味いなら間違いなく失敗作だとわかるから、お客さんに出してとんでもないことになる前に引っ込めることができますよね。これが「動的ヒューリスティック」のしくみ、というわけです。

「ふるまい検知」=「動的ヒューリスティック」

御堂 さ、たとえ話はこれくらいにして、あらためて「ヒューリスティック検知」の機能をまとめてみましょう。

「静的ヒューリスティック」は、実際に検査対象のファイルを動かすことなく、書かれている「動作」を見てウイルスかどうか判断する方法、というわけですね。ちなみに、ここでいう「(良くない)動作」とは、怪しいファイルを勝手にコピーするとか、自分自身のデータを無限に複製するとか、そんなものがあります。

三ツ矢 モヤモヤが晴れてきました! じゃあ、「動的ヒューリスティック」だと?

御堂 実際に検査対象のファイルを動かして、ウイルスかどうかを探る方法が「動的ヒューリスティック」です。実際にウイルスを動作させて「ふるまい」を見る、ということから、この動的ヒューリスティックが「ふるまい検知」とも言われているわけです。

三ツ矢 なるほど、料理のたとえではっきりイメージできました! 私の頭の中はもうイチゴタルト一色ですけど。

御堂 ははは。無事にわかってもらえてよかったです。それじゃあ、次回はこの「ヒューリスティック検知」のしくみの具体的な強みを紹介しますね。……ふー、ようやく「どんなアンチウイルスソフトが“強くて安心”なの?」、というおたよりにちゃんと答えられそうです!

三ツ矢 あっ……(おたよりの存在をすっかり忘れていたという顔)次回もおたのしみに!

 

どんなセキュリティ対策をしたらいい? そんな悩みに、インソースが応えます。

インソースのセキュリティサービス
リスクマネジメント研修
Dr.Web TOP
Dr.Web 未知のウイルスに強いワケ
Dr.Web 導入プラン

LINEで送る
Pocket

to top