元サイバー捜査官が教える!アンチウイルスソフト選びのヒント【おしえて!情報セキュリティ Vol.6(後編)】
ウイルス,おしえて!情報セキュリティ,サイバー犯罪,セキュリティ基礎
これまでの【おしえて!情報セキュリティ】記事ラインナップはこちらから
前回までの記事はこちら:
◆知っておきたいウイルス検知法「パターンマッチング」のしくみ【おしえて!情報セキュリティ Vol.6(前編)】
◆料理で覚える!?「ふるまい検知」「ヒューリスティック検知」の機能とは【おしえて!情報セキュリティ Vol.6(中編)】
三ツ矢 前回までのウイルス検知機能のたとえ話は、イチゴタルトのインパクトが強すぎて……(笑)。もし私が、誰かに「どんなウイルスソフトがいいの?」って訊かれても、自分では説明できない気がします。
御堂 なんと、三ツ矢さんっ! このコラムをはじめて約半年……とうとう三ツ矢さんも情報セキュリティについて「尋ねられる側の立場」になったんですね! なんだか感慨深いです。いよいよ、当初の目標だったセキュリティコンサルタントになる門をくぐったことになりますねっ!
三ツ矢 はいはい、感動していただくのはいいんですが、尺を考えてくださいねー。まずはさっそく、これまでにお話したウイルス検知機能のおさらいをしてもらっていいですかね?
御堂 は、はい……(この辛辣な編集者魂は変わらないのか……)。
目次
結局、どういうアンチウイルスソフトがいいかというと……
御堂 さてさて、ここまでで基本的なウイルス検知機能を見てきたわけですが、私がお伝えした「主要な3つのウイルス検知の機能」、わかっていただけましたか?
三ツ矢 えっ、私がまとめるんですか? えーっと(メモしたノートをめくりながら)……。
●パターンマッチング
ウイルスの“型”を見るしくみで、検出は正確。未知のウイルス(まだ”型”がないウイルス)は検知できない。
●ヒューリスティック検知
ウイルスの”型”ではなく“行動”に注目することで、危険性を判断するしくみ。
●ふるまい検知
ヒューリスティック検知の一種。ウイルスのプログラムを動かしてみることで、”行動”の危険性を判断するしくみ。
ということは、「ふるまい検知」が搭載されているアンチウイルスソフトが“安心”でオススメ、ってことになりますね。
御堂 おおむねそのとおりです! 三ツ矢さん、ちゃんと説明できているじゃないですか~。
これがいただいたおたよりへの回答ですね! じゃ、今回はこのへんで…………。
三ツ矢 えっ、いやいや、待ってください! それじゃざっくりしすぎです。御堂さん、今日は私に語らせるばっかりで、何にも仕事してないじゃないですかっ!!!
「ふるまい検知」のしくみを、もっと詳しく!
~ウイルスを砂場で遊ばせる?「サンドボックス環境」とは
三ツ矢 この前から私が気になってるのは、「ふるまい検知」の具体的なしくみのことです。
検査する対象を、実際に動かすことでウイルスかどうか見極める。それはわかったんですが、普通に考えたら、危ないプログラムを実際に動かすのに、なんでコンピュータが感染しないんですか?
御堂 よくぞ聞いてくれました! それは、「サンドボックス」というしくみのおかげなんですよ。
三ツ矢 サンドボックス……? 普通に訳したら「砂場」ですよね。
御堂 子どものころ、砂場でお城をつくったり、ままごとをしたりした記憶はないですか?
コンピュータの世界も同じで、パソコンの内部やネットワーク上に、「サンドボックス環境」という仮想的な閉じられた空間をつくるんです。この中では何をしても自由で、どんな攻撃をされてもサンドボックスの外には無害なんです。
三ツ矢 なんだか夢のような空間ですねえ。ウイルスをこの砂場で遊ばせる、ってイメージですか?
御堂 その通りです。このサンドボックスに、実際の環境とそっくりな環境をつくり、「ウイルスかどうかわからないデータを動かす」ことで、悪さをするかどうか見極めているというわけです。これこそズバリ、「ふるまい検知」が未知のウイルスに強い理由なんですね。
「Wannacry」を検出したアンチウイルスソフト「Dr.Web」
御堂 あと、アンチウイルスソフト選びでは、実際に結果として未知のウイルスを防いだ実績があるかどうか、という点を見てみるのも大切ですね。
その流れで、世界中が恐怖におののいた未知のウイルスを「ふるまい検知」で検出していたアンチウイルスソフトの話をしましょうか。三ツ矢さんは、少し前に話題になった「Wannacry(ワナクライ)」という名のマルウェアを聞いたことありますか?
三ツ矢 うーん。なんとなく聞き覚えがあるような……。
御堂 この新種のマルウェアが流行したのは、2017年5月ごろのこと。「Wannacry」は、主にWindowsのコンピュータを標的としたランサムウェアです。ロシア、ウクライナなどをはじめ世界中で流行して、大きな被害を与えました。……ここでちょっと復習ですが、ランサムウェアってどんなものだとお伝えしましたっけ?
三ツ矢 えーと、パソコン内部に入り込んで、身代金を要求するタイプのマルウェアでしたっけ。
御堂 あたり! コンピュータに侵入したあと一部データにアクセスできないようにして、解除条件として身代金を要求するもの、でしたね。
さて、世界中のコンピュータに甚大な被害を与えた「Wannacry」ですが、流行当時は「Dr.Web(ドクター・ウェブ)」などに代表される「ふるまい検知」機能を搭載したアンチウイルスソフトが「Wannacry」を自動検出して、感染を未然にブロックしていたんです。これも、ウイルスの”型”はわからない段階でも、”ふるまい”で危険性を判断していたおかげ、ってわけです。
三ツ矢 へー、それはすごいかも!
御堂 脆弱性を抱えたコンピュータを使っていて、かつアンチウイルスソフトを使っていなかったか、ソフトを使っていても「ヒューリスティック」機能がなかった方は、運が悪ければ「Wannacry」に感染してしまっていたでしょうね。
「野生」のウイルスは、どこから発生?ロシア生まれの「Dr.Web」を選ぶべき理由
でも、大前提は「最強の防衛策は存在しない」ということ
御堂 ……ではでは、最後におたよりをくださった方へ、もうひとつのアドバイスを。
ここまでで“強くて安心”なアンチウイルスソフトの機能を説明してきましたが、なおも油断は禁物です。もう「耳にタコ」かもしれませんが、カンペキな防衛策はありません!
それに、もちろん「ヒューリスティック検知」や「ふるまい検知」搭載のソフトでも、製品ごとに検知力はさまざまです。そして“優秀“なソフトを使っているからといって、ウイルス感染を100%防げるわけではないということは、リスク対策全般に言える基本の大前提として、わかっていてほしいです。
三ツ矢 どんなに高性能なソフトを使っても、「うっかりミス」でサイバー犯罪者にスキを見せてしまうこともあるわけですもんね。どんなにデジタルな世界の話でも、「人の力」でアナログにリスク対策していくことが結局は重要、ってわけなんですねえ。
* * *
御堂 ふー、一時はどうなることかと思いましたが、理解いただけたようでうれしいです。
三ツ矢 いやあ、最初は「ヒューリスティック」が「キュウリスティック」にしか聞こえなくて、マヨネーズにつけるかブルーチーズソースにつけるか考えるくらい、理解できていなかったんですけどね。
御堂 さすが、セキュリティならぬセキュ「ウ」リティコンサルタント!
三ツ矢 え? 何か言いました? 私を使って無理に苦しいオチつけないでください。
罰として今日は焼肉! 御堂さんのおごりで、よろしくお願いします!
御堂 ああ、もうこんなことならオチは「ふるまい」……………………。
★次回の【おしえて!情報セキュリティ】もおたのしみに!
アンチウイルスソフト選びや対策方針に迷っている、そんなあなたに。
企業の情報セキュリティ対策へのお悩みに、専門アドバイザーがお答えします。【無料相談会、実施中!】
【情報セキュリティがわかる、インソースの無料セミナー開催!】
〈 情報漏洩リスクに備えるリアルなセキュリティ強化 〉4月の開催スケジュールはこちら
ウイルスメールに対する、組織の「脆弱性」を診断してみませんか?セキュリティアセスメントなら【標的診断】
ロシアの国家機関も利用する【Dr.Web(ドクター・ウェブ)】が、「未知のウイルス」にも強い理由