catch-img

EPPで使われるマルウェアスキャンの仕組みを徹底解剖

サイバーセキュリティセキュリティ対策専門知識用語解説

はじめに

EPP(エンドポイントプロテクションプラットフォーム)で使われているマルウェアスキャンの仕組みについて解説します。コンピュータやスマートフォン、タブレットなどのデバイスを安全に保つためには、マルウェアスキャンが欠かせません。

しかし、多くの方がその具体的な仕組みについてよく理解していないのが現実です。本記事では、マルウェアスキャンの基本的な仕組みについて詳しく解説します。

目次[非表示]

  1. 1.はじめに
  2. 2.EPPの基本概念と重要性
  3. 3.シグネチャベースの検出
  4. 4.静的ヒューリスティック検知
  5. 5.動的ヒューリスティック検知
  6. 6.Generic検知
  7. 7.マルウェアの誤検知疑いが起きてしまったら
  8. 8.まとめ

EPPの基本概念と重要性


EPPは、エンドポイントデバイスに対するセキュリティ強化を目的としたプラットフォームです。エンドポイントとはパソコンやサーバーなどのことで、それらを悪意のある攻撃から保護します。

サイバー攻撃の増加傾向にある昨今では、EPPによるマルウェアスキャンの重要性が増しています。マルウェアスキャンについては有償無償問わず、ほぼどの製品も基本的な機能と概念は共通しています。


シグネチャベースの検出

マルウェアスキャンは既知のマルウェアのシグネチャ(特徴的なパターン)をデータベースに登録しており、これを基にスキャンを行います。この方法は、古典的なマルウェアに対して非常に効果的です。かつてEPPという言葉が誕生する前のウィルス対策ソフトという言い方がスタンダードな時代は、こうしたスキャンが主流でした。

しかし、未知のマルウェアに対応できないばかりか、わずかにコードを変えた亜種を作成されただけでも検知ができないという問題点がありました。

静的ヒューリスティック検知

スキャン対象ファイルを静的にスキャンする手法です。実行される前にコードを分析してマルウェアかどうかを判断します。ここでマルウェアと判定されれば隔離・削除されるのが一般的です。しかし、ここでマルウェアと断定するのが難しいケースは多くあります。シグネチャのパターンマッチ以外の検知手法は誤検知との戦いになります。攻撃者も難読化などの手法で検知を免れようとします。

しかし、嫌疑が不十分なまま誤検知によって必要なファイルを隔離することは可能な限り避けなければなりません。ここで判断が難しい場合は、動的ヒューリスティックを行います。

動的ヒューリスティック検知

実際にコードを実行させてその挙動を確認してマルウェアかどうかを判断します。ビヘイビア法ともいいます。振る舞い検知もこの手法を指すことが多いでしょう。

実際の動的ヒューリスティックスキャンは環境に影響が及ばないようにサンドボックス環境で隔離して行うことになりますが、現代のEPPはそのツール自体にその機能が含まれています。仮想環境を作ってスキャンすることはエンドポイントのリソースへの負荷が大きいため、特に怪しい対象に実行することになります。

しかし、攻撃者も仮想環境で実行している場合は怪しい振る舞いを避けるような実装をしたりと、なんとか検知を逃れようとします。脅威を必ず検知できる手法は発明されていません。

EPPでどうしても検知できなければEDR製品などでカバーするべきです。最終的に必ず不正な挙動をするので、そうした際に素早く封じ込めるにはEDRがあることが望ましいです。

Generic検知

事前予防検出とも言います。最初に説明したパターンマッチの発展型ともいえる手法です。この機能については各製品微妙に扱いが違います。Generic検知はマルウェアに類似性があることを利用して亜種を封じ込めることが得意な技術です。

製品によって、もしくはその怪しさによって即時隔離する場合や監視対象として放置される場合があります。一般的にはこの技術によって未知のマルウェアの誤検知が大きく減ったと言われることが多い技術です。

マルウェアの誤検知疑いが起きてしまったら

「VirusTotal(ウイルス・トータル)」とは、Google社が提供している無料のウイルス検査サイトです。疑いのあるファイルをアップロードするだけで、そのファイルをスキャンしてくれます。

適当な実行ファイルをスキャンさせると、72製品のスキャン結果がすぐに表示されます。このキャプチャーのスキャン結果ではどの製品も悪意のあるファイルと判断しませんでした。非常に手軽に使えますが、第三者が閲覧できるので機密情報等を含むファイルの取り扱いは注意してください。


まとめ

現代のマルウェアスキャンは、未知の脅威に対しても効果を発揮します。しかし、攻撃者もそれをすり抜ける技術を編み出すので結局のところ脅威を水際で完全に食い止めるのは困難です。そのため、EDRなど他の技術を組み合わせて防御を固めることが効果的です。


弊社では、セキュリティ、インフラストラクチャ、デジタルトランスフォーメーション(DX)を包括的にサポートするソリューションを提供しています。私たちの専門知識がどのように貴社の成長と安全性を高められるか、ぜひ資料をご覧ください。

以下のリンクから無料でダウンロードいただけます。貴社の未来を守り、進化させるためのお手伝いができることを楽しみにしています。

  資料ダウンロード|株式会社電通総研セキュアソリューション サービス紹介資料や講演動画など、各種お役立ち情報をまとめています。無料でダウンロードいただけますので、お気軽にご利用ください。 株式会社電通総研セキュアソリューション - ソリューションサイト




前の記事

prev-article-image

サイバーセキュリティの脅威と国境を越えた対策の重要性

次の記事

next-article-image

組織を弱くする、Security Fatigue(セキュリティ疲れ)とは何か

CONTACT

お客様の課題解決に最適な
支援プランをご提案いたします

ご不明な点はお気軽に
お問い合わせください

お問い合わせ

サービス資料は
こちらから

資料ダウンロード

人気記事ランキング

タグ一覧

logo
ページトップに戻る

© COPYRIGHT DENTSU SOKEN SECURE SOLUTIONS INC.ALL RIGHTS RESERVED.