ウイルス対策の仕組みをわかりやすく解説

目次
• なぜウイルスの脅威が続くのか
• ウイルス対策ソフトの仕組み
• 次世代のウイルス対策の仕組み
• ウイルス対策として重要なポイント
• ウイルス対策について正しく理解しよう

なぜウイルスの脅威が続くのか

ウイルスの危険性は周知の事実であり、多くの企業が対策を講じています。しかし、インターネットにおける脅威は増えるばかり。一体なぜなのでしょうか。

覚えておきたいのが、インターネットには常にソフトウェアやシステムの脆弱性を狙っているサイバー犯罪者が存在しているということ。どんなソフトウェアで脆弱性が発見されてしまうことは多く、その脆弱性をカバーするためにアップデートしていかなければなりません。OSなどのアップデートを怠っているとセキュリティ的にNGなのはこのためです。

そういった脆弱性を狙った新たなマルウェアは日々誕生し続けていることから、アンチウイルスソフトの開発も進んでいるものの、後手に回ってしまっているといえるでしょう。

ウイルス対策ソフトの仕組み

マルウェアやウイルスと一口に言っても種類はさまざま。プログラム実行型ファイルを対象とし、寄生して増殖する「ファイル感染型」と呼ばれるものもあれば、表計算ソフトや文章作成ソフトのマクロ機能を悪用する「マクロ感染型」、自己増殖でき感染力の高い「ワーム型」など、感染経路やその影響もバラバラです。ウイルス対策ソフトは、絶えず増えゆくウイルスを検知し駆除していかなければなりません。

ウイルス対策ソフトを導入した場合、常にデバイス内を監視し検知してもらうことができますが、いくつもあるマルウェアを検知していく仕組みはどのようなものなのでしょうか。ここでは、代表的な方法として知られている「パターンマッチング」と「ヒューリスティック検知」の2つを紹介します。

ウイルスの検知方法の1つに、「パターンマッチング」があげられます。パターンマッチングとは、既知の脅威を検知する方法のこと。マルウェアに感染してしまったファイルをもとに、データパターンをデータベース化し、コンピュータ上にあるファイルに同じパターンがないかをスキャンして確認することが可能です。ウイルスのデータパターンはシグネチャとも呼ばれます。

感染履歴のあるファイルをもとにシグネチャを作成し、それをもとに重複するデータパターンがないかをチェックしていくため、検出したことがなければ検知することはできません。しかし、既知のウイルスを徹底して検知・駆除していくためにはうってつけの方法といえるでしょう。

先にも述べている通り、既知の脅威でなければ検知することができないため、新種のウイルスにはまったく対抗できないのが懸念すべきポイントです。新たなる脅威は日々生まれている状況なので、パターンマッチングのみでサイバー攻撃から身を守ることは非常に難しいでしょう。

また、近年はパターンマッチングからの回避機能まで備わったマルウェアの活動も顕著に見られます。パターンマッチングという方法が攻略されつつある、と言っても過言ではないかもしれません。

メジャーなウイルス検出方法として、「ヒューリスティック検知」もあげられます。ヒューリスティック、つまりは「発見的」な検知方法と名付けられており、これまでの経験や試行錯誤を活かし、ある一定レベルの精度を持った答えを導ける方法という意味が含まれています。

この「ヒューリスティック」の意味合いだけではまったくどのような仕組みなのか掴み取れませんが、ヒューリスティック検知では新たな脅威にも対応することが可能。パターンマッチングとは異なり、シグネチャではなくプログラムされた特定の動作を検知するため、もしもシグネチャとして確認されていないウイルスであっても問題ありません。データパターンに囚われずに検知できるのは非常に心強いポイントでしょう。

また、ヒューリスティック検知の中でも大きく2つの方法に分けられるようです。

静的ヒューリスティック検知

静的ヒューリスティック検知とは、プログラム実行前に分析し、ウイルスと思しき動作をするのか確認する方法です。まだプログラムが実行されていない状態で検出作業を行えることから、ウイルスに感染してしまうリスクを抑えることができます。

しかし、静的ヒューリスティック検知だとウイルスを検知しきれないことも。怪しいと思われる動作が少しでも発見された場合には、この次に紹介する動的ヒューリスティックとあわせてダブルチェックし、検知漏れがないように工夫することが多いようです。

動的ヒューリスティック検知

動的ヒューリスティック検知とは、実際にプログラムを動作させてから検知する方法です。コンピュータ内に検証用の仮装環境「サンドボックス」を作り、そこでプログラムを動作させます。実際にプログラムの振る舞いを確認して検知する仕組みであることから、「振る舞い検知」とも呼ばれているようです。

ウイルスの中には、暗号化が施されており、プログラムの実行前には検知されないよう設計されているものもあります。しかし動的ヒューリスティック検知であれば、仮装環境上で実際に動作させた上で判断するため、暗号化されたウイルスも難なく検知することが可能です。

しかし、動的ヒューリスティック検知は負荷が高いのがネックポイント。そのため、いきなり動的ヒューリスティック検知を行うのではなく、静的ヒューリスティックとあわせて活用されることが多いでしょう。

ヒューリスティック検知の懸念点としてあげられるのは、誤検出が少なくないということです。近年はプログラムの複雑さも日に日に増していることから、誤検出が起こりやすくなってしまっています。

また、攻撃者側が「問題のないプログラムのように振舞うよう動作させよう」と配慮してしまえば、そのプログラムの異常性に気付けないことも。ウイルスだけでなくヒューリスティック検出の精度も近年向上していますが、なかなか難しい部分もあるようです。

次世代のウイルス対策の仕組み

これまでに紹介してきたような仕組で検知しているウイルス対策製品は、EPPとも呼ばれています。しかし、懸念点を説明してきた通り、EPPの仕組みではウイルスの検知漏れが少なくありません。そこで、EPPによる検知をすり抜けたウイルスを検知するシステムとして、「NGAV（Next Generation AV）：次世代AV」（ベンダーによっては「NGEPP」とも）が登場しています。

一体どのような特徴があるのか、そのウイルス検出の仕組みをチェックしていきましょう。

次世代型のウイルス対策の仕組みとして、機械学習による脅威の検知を叶えているものがあります。

パターンマッチング検知やヒューリスティック検知に加えてAIを活用した検知方法を利用でき、ウイルスのパターンやそれぞれの特徴、ファイルレスマルウェア（ステルス・マルウェアとも。ウイルス対策ソフトを用いても、不審なファイルと検知されないよう活動するマルウェアを指す）の動きなどを、人工知能でしかなし得ない速度で学習。攻撃兆候を検出することによって、精度を大幅に高めることができるという仕組みです。

しかし、データ量が不足している場合には精度を高めることができません。AIの学習を進めさせるためには、データパターンや動き、サーバやPCなど各種構成機器といったエンドポイントにおける動作など、さまざまな要素のデータが十分に揃っている必要があります。

十分なシステムリソースがあるのか、というポイントでまずふるいにかけられてしまうため、誰しもが気軽に行えるウイルス対策とは言えないかもしれません。

次世代型のウイルス対策の仕組みに、EDRによって被害を最小に抑える方法もあげられます。

EDRとは、「Endpoint Detection and Response（エンドポイントにおける検出と対応）」の略。つまり、サーバやクライアントPCなどの構成機器（＝エンドポイント）における監視に長けているエンドポイント・セキュリティ・ソリューションです。近年増加しているランサムウェアや標的型攻撃などといったサイバー攻撃を検出することができます。

クラウドサービスが主流となるまで、企業においてはオンプレミス環境が主流でした。そのため、企業内のシステムとオープンネットワーク（インターネット）の境界線を内側から守るだけで、ある程度セキュアな環境を保てていたのです。

しかし、近年ではクラウドサービスとモバイルデバイスが台頭。境界線という概念自体曖昧なものとなってしまったため、サーバやPCといったエンドポイント単位で守らなければならない状況です。

そのため、エンドポイントにおける検出を強化されたEDRに焦点があたり、EDRを活用することによってサイバー攻撃の被害を最小に抑えられています。

ここまでで説明してきた通り、ウイルス対策ソフトはあくまでも安全性を上げるためのものであり、完全にウイルスを検知・駆除できる仕組みは持ち合わせていません。そのため、「ウイルス対策ソフトを導入しているのだから、あとは何にも気にしないで大丈夫」と気が緩んでしまうのは非常に危険です。

ウイルス対策でもっとも重要なのは、アンチウイルス製品を導入するのはもちろんのこと、セキュリティに関する意識を高く持つこと。従業員1人ひとりのセキュリティに関する意識が低ければ、思わぬトラブルに陥ってしまうこともあります。ソフトウェアに便りきるのではなく、意識の面から注意していきましょう。

ウイルス対策として重要なポイント

「セキュリティ意識を高く持つことも重要」と先に述べましたが、ウイルス対策ソフトを導入する以外に取っておくべき行動にはどのようなことがあげられるのでしょうか。1つずつ確認していきましょう。

ウイルス対策ソフトを導入する以外に取るべき行動として、OSやソフトウェアの状態を常に最新に保っておくことがあげられます。

先にも述べていますが、OSやソフトウェアにおいては脆弱性が発見されます、脆弱性が発見されるたびに、その脆弱性に対処するためのアップデートが行われるのです。しかし、アップデートが必要ですとアラートが届いているにも関わらず、問題なく使えるからと言って放置したまま使い続けてしまう場合も少なくありません。インターネットに蔓延る脅威は、そういった脆弱性を狙って攻撃を仕掛けてきます。アップデートが必要な場合にはすぐに対応し、脆弱性をできる限りなくしておくことが重要です。

ネットワーク機器のファームウェアも、最新の状態かどうかをきちんと確かめておきましょう。

クラウドサービスを利用して従業員みんながデータに気軽にアクセスできる、という環境を作っている会社は少なくありません。しかし、アクセス権限の設定を細かく行っておかないと、機密性の高いデータも容易く開かれてしまい、情報が流出してしまうなんてこともあるでしょう。

そのような事態を防ぐためにも、ファイルを共有する際には監査機能を用いる、アクセスログやダウンロード・アップロードなどの操作ログをチェックするなど、不正アクセス・不正利用の防止対策を敷く必要があります。なるべく社用PCとプライベートPCに分け、脅威に晒される可能性をできる限り減らすなどといったアプローチも必要かもしれません。

DoS攻撃やDDoS攻撃をはじめ、サーバセキュリティを脅かす脅威はさまざまです。それらに対処するためにも、サーバーの運用・管理を徹底しましょう。

たとえば、脆弱性を解決できる修正プログラム「セキュリティパッチ」を適用させ常に最新の状態に保つ、ログ管理を徹底して行う、セキュリティホールになる危険性を孕んだ使っていないアカウントを削除する、WAF（Web Application Firewall）を用いて不正アクセスやサーバ情報の書き換えを防ぐなどといった方法があげられます。

難しいことではなく今すぐ対処できることばかりなので、最悪の事態を未然に防ぐためにも1つずつこなしていきましょう。

ウイルス対策ソフトを導入した、サーバーの運用・管理も徹底して行い、WAFも活用している。従業員1人ひとりへの教育もきちんと行ってきた…。それでもサイバー攻撃の被害に遭ってしまう可能性はゼロにはなりません。インターネット上に蔓延る脅威は今もなお強化を続けており、さまざまな脆弱性の隙を狙って攻撃をしかけてきます。そのため、さまざまなウイルス対策を講じていたとしても、ウイルスに感染してしまったということもあるでしょう。

万が一ウイルスに感染してしまった場合には、まずはじめにインターネット接続を物理的に切断しましょう。インターネットに接続できる状態のままでは、たった1台のパソコンへの感染から他のパソコンへの感染が、時間が経たぬうちに広がってしまいます。

とにかくインターネットを利用できない状況とし、さらに被害が拡大してしまうのを未然に防ぎましょう。

ウイルス対策について正しく理解しよう

今回は、インターネット上にはどのような脅威が潜んでいるのか、ウイルス対策ソフトはどのような仕組みでウイルスを検知しているのかを中心に、企業におけるサイバー攻撃対策について説明してきました。

「ウイルス対策ソフトさえ入れておけば安心できる」と盲信し、ソフトの導入のみで満足してしまっては非常にリスキーです。ウイルス対策ソフトもその仕組みが完全ではなく、すべてのウイルスを検知し対処できるわけではありません。ウイルス対策ソフトの仕組みやできることをきちんと理解し、その上で導入することが重要です。

「どのウイルス対策ソフトにするべきか悩んでいる」という場合には、おすすめのウイルス対策ソフトを紹介しているこちらを参考になさってください。