アーカイブ
カテゴリー
カレンダー
2017年7月
« 8月    
 12
3456789
10111213141516
17181920212223
24252627282930
31  

検知により対策

マルウェアは、セキュリティソフトで対策してもすぐに変化し、セキュリティソフトで検知されなくなる。
そうると、いたちごっことなり、毎回対策されるまでは最初の犠牲者が出てしまうこととなる。
マルウェアのカルテのようなもの(パターンファイルなど)でマルウェアかどうかをプログラムベースでマッチング検知しているために完全に一致しないと検出ができず、未知のマルウェア活動については検知ができない。
しかし、パターンファイルなどのマッチング検索ではなく、マルウェア活動自体を監視し、その振る舞いによって検知する振る舞い検知という機能がある。
パターンファイルには存在しないマルウェアだったとしてもマルウェア活動を監視し、振る舞い検知によって不正な振る舞いと判断されれば、検知することができるため未知のマルウェア活動も検知が可能となる。
マルウェア活動を振る舞い検知機能に登録されていないといけないが、プログラムベースのマッチング検索よりも、マルウェア活動自体はパターンが少ないため、概ね全体を網羅可能である。
また、振る舞い検知などで検出された場合、マルウェア活動による感染の可能性が高い状態であるため、他のパソコンへ感染が広まらないように感染端末をネットワークから早急に遮断する必要がある。
感染端末のネットワーク遮断が遅れると大規模ネットワーク環境などであるば致命的な問題となりかねない。
したがって、人の手ではなく、セキュリティソフトの機能として感染確認時や振る舞い検知時に自動遮断する機能も重要である。
つまり、振る舞い検知の幅の広さと感染端末の遮断の確実性が重要である。
しかし、大規模感染の多くは、感染端末に未知のマルウェアが感染し、振る舞い検知機能などが無いため、気付かず、感染が広がるケースが多い。
また感染端末の疑いがあると素早く気づいたとしても判断に迷っているうちに、感染端末から他のパソコンへ感染が広がるケースもある。
感染端末の疑いの段階で、セキュリティソフトで自動的に遮断してしまうことがやはり重要であるといえる。