企業・団体における情報セキュリティ対策やIT資産管理、サイバー攻撃に関する情報などITに関わるさまざまな情報を随時掲載しています。

Sky株式会社

公開日2024.07.03更新日2024.07.04

ふるまい検知とは? 検知の仕組みやメリット・デメリットなどを解説

著者:Sky株式会社

ふるまい検知とは? 検知の仕組みやメリット・デメリットなどを解説

マルウェアをはじめとするサイバー攻撃の被害を防ぐには、攻撃者の手口を把握した上で対策を講じる必要があります。一方で、次々と新たなタイプのマルウェアが作り出されていくため、既知の脅威に備えるだけでは対策は十分とはいえません。そこで必要となるのが、未知のマルウェアを検知する上で有効な「ふるまい検知」です。この記事では、ふるまい検知の仕組みやメリット・デメリットについてわかりやすく解説します。

ふるまい検知は、プログラムの不審な挙動からウイルスなどを検知する仕組み

ふるまい検知とは、プログラムの不審な挙動を検知し、ウイルスなどによる被害を未然に防いだり、被害を最小限にとどめたりするための仕組みです。まずは、ふるまい検知と従来のマルウェア検知との違いや、ふるまい検知が必要とされている理由について解説します。

ふるまい検知と従来のマルウェア検知の違い

マルウェア検知とは、さまざまな経路から侵入してくるマルウェアをいち早く検知して感染を未然に防ぐ機能です。従来のマルウェア検知では、既知のマルウェアをパターンファイルに記録・蓄積していく手法が一般的です。この手法はパターンマッチングと呼ばれ、長年にわたりアンチウイルスソフトウェアに採用されてきました。

一方のふるまい検知は、プログラムや通信の挙動に着目する点がパターンマッチングと大きく異なります。ふるまい検知は、不審な動作や通信が確認された時点で、何らかの脅威が侵入している可能性があると判断する検知方法です。このように、従来のパターンマッチングによるマルウェア検知が「Aというマルウェアが検知された」「このプログラムは既知のマルウェアBと一致する」といった方法で脅威を特定するのに対して、ふるまい検知では「不審な挙動をしているプログラムがある」「何らかの脅威が侵入した可能性がある」といった判断を下す点に違いがあります。

ふるまい検知が必要な理由

パターンマッチングによるマルウェア検出は、過去に発見されたマルウェアのパターンに基づいて行われます。そのため、既知の脅威に関しては対応できるものの、未知のマルウェアに対しては無防備な状態となりかねない点が弱点です。マルウェアは次々と新たなタイプのものが作り出され、サイバー攻撃に利用されています。パターンマッチングによる脅威の検知のみでは、こうした未知の脅威を見落とす可能性があります。セキュリティ対策の目的は組織を脅威から守ることにあるため、未知の脅威についても検知しなければなりません。現代社会においてパターンマッチングの弱点を補い、脅威への備えを強化するためには、ふるまい検知の仕組みが必要といえるのです。

ふるまい検知の方法

ふるまい検知の方法は、「静的ヒューリスティック法」と「動的ヒューリスティック法」の2種類に分けることができます。ここでは、それぞれの方法について解説します。

静的ヒューリスティック法

静的ヒューリスティック法とは、プログラムコードの類似性を検知する方法のことです。実際にプログラムを動かすことなく、プログラムの中身を比較することから「静的」と呼ばれています。プログラムコードの特徴を既知のマルウェアと比較することで、プログラムを走らせた場合の振る舞いを予測するのが基本的な検知方法です。もともとヒューリスティック法とは、パターンマッチング以外の検知方法を表しています。単に「ヒューリスティック法」という場合には、静的ヒューリスティック法を指しているケースがあります。ふるまい検知においては、まず静的ヒューリスティック法による脅威の検出が行われるのが一般的です。

動的ヒューリスティック法

動的ヒューリスティック法とは、プログラムを実際に動かして挙動を確認する方法のことです。これは、プログラムの振る舞いから脅威を判断する方法であり、英語のbehavior(振る舞い)から「ビヘイビア法」とも呼ばれます。プログラムの振る舞いを実際に確認するには動的ヒューリスティック法を用いる必要があることから、この検知方法を狭義のふるまい検知と定義しているケースも少なくありません。実際のふるまい検知においては、静的ヒューリスティック法と動的ヒューリスティック法を組み合わせて脅威の検出を試みます。初めに静的ヒューリスティック法によってプログラムを判定したのち、安全性が十分に確認できなかった場合には動的ヒューリスティック法による判定が行われます。静的ヒューリスティック法と動的ヒューリスティック法を組み合わせることにより、すべてのプログラムを動かす必要がなくなるため、システムの負荷を抑制しつつ脅威の検知成功率を高めることが可能です。

ふるまい検知のメリット

ふるまい検知は、従来の検知とは異なるアプローチで危機を判別することが可能です。ここでは、ふるまい検知のメリットを紹介します。

未知の脅威も検知する

ふるまい検知のメリットとして、従来のパターンマッチングでは検出できなかったマルウェアを検知できる点が挙げられます。未知の脅威を検知することによって、組織が重大な被害に遭うことを未然に防げる点は大きなメリットです。

パターンファイルの更新作業が不要

パターンファイル更新の漏れや遅れによる脅威の見逃しが発生しないことも、ふるまい検知のメリットの一つです。ふるまい検知ではパターンファイルを使用しないことから、従来のアンチウイルスソフトウェアでは欠かせなかったパターンファイルの更新作業が不要となります。

リアルタイムで脅威の侵入を検知できる

脅威の侵入をリアルタイムで検知できる点もメリットといえます。プログラムの不審な動作を検知した時点でアラートによって通知するため、万が一脅威が侵入した際にも素早い初動対応が可能です。

ふるまい検知のデメリット

ふるまい検知は必ずしも万能な検知方法ではなく、デメリットがある点も押さえておくことが重要です。ふるまい検知のデメリットは、以下のとおりです。

誤検知が発生する

ふるまい検知のデメリットとしては、誤検知もあり得る点が挙げられます。プログラムの挙動からマルウェアの可能性のあるプログラムを判別することから、問題のないプログラムをマルウェアと判定してしまう可能性も否定できません。結果として過剰検知による不要なアラートの頻発や、誤検知による機器の一時停止といった事態が生じることも想定されます。脅威の疑いのあるプログラムの振る舞いを検知する特性上、誤検知が発生するリスクを完全に排除できない点はデメリットです。

CPUやメモリに負荷がかかる

ふるまい検知は、機器や端末の本来の用途以外に実行されるプログラムであるため、CPUやメモリに負荷がかかるというデメリットがあります。機器や端末のパフォーマンスが低下し、場合によっては業務に支障をきたすことも想定されます。そのため、業務で使用する端末や機器の処理能力に合わせて、無理なく稼働できるツールを選定することが大切です。

ふるまい検知の対象

ここまでに見てきたとおり、ふるまい検知はあらゆる脅威の検知に対応できるわけではありません。ふるまい検知の対象となるのは、パターンマッチングでは対応できない脅威です。ふるまい検知の対象となる脅威の例としては、以下の2点が挙げられます。

未知のマルウェアやウイルス

未知のマルウェアやウイルスなど、パターンファイルに蓄積されていない脅威はふるまい検知でなければ検出できません。一例として、通常とは異なる時間帯や曜日に大量のアクセスが発生したり、不審なダウンロードの要求が続いたりするようなら、パターンマッチングでは検出されない何らかの脅威が侵入した可能性があります。こうした脅威を早期に察知するには、ふるまい検知による判定が必要です。

ソフトウェアやシステムの開発元が、セキュリティパッチを配布する前に実行されるサイバー攻撃をゼロデイ攻撃といいます。ゼロデイ攻撃のような特性を持ったマルウェアに対しては、アンチウイルスソフトウェアのパターンファイルを常に最新の状態に保っていたとしても、セキュリティパッチの配布そのものが追いついていないため対処できません。未知のマルウェアなどの脅威に備えるには、ふるまい検知の機能を搭載したツールを活用する必要があります。

ネットワーク

ネットワーク上におけるデータの流れや通信パターンも、ふるまい検知の対象となります。例えば、通常時と比べて特定のファイルのダウンロード数が異常に増えているようなケースや、これまでに確認されていないサーバーとの通信履歴が短期間で増加しているようなケースでは、不審な通信が行われている可能性を疑う必要があるからです。

実際、パスワードの総当たり攻撃やDDoS攻撃の標的となった場合、ごく短期間のうちに通信量が顕著に増加するケースが少なくありません。こうした異常は従来のパターンマッチングでは発見できないこともあるため、ふるまい検知によって不審な通信を検知することになります。

ふるまい検知とEDRの活用

プログラムの不審な挙動を検知することにより、未知のマルウェアの早期発見に役立つセキュリティソリューションの代表例として、EDR(Endpoint Detection and Response)が挙げられます。ここでは、ふるまい検知とEDRの違いや、ふるまい検知と組み合わせた活用方法について見ていきます。

ふるまい検知とEDRの違い

ふるまい検知とEDRの大きな違いは、脅威の侵入を未然に防ぐための仕組みであるか、侵入後の対応を想定した仕組みであるかという点にあります。ふるまい検知は、攻撃が行われていることを早期に察知し、排除するための仕組みといえます。パターンマッチングでは検知できない脅威に対応できる点は大きな強みとなるものの、ふるまい検知のみでマルウェアの侵入を完全に防止できるわけではありません。万が一侵入されてしまった場合に備えて、侵入後の対策も講じておく必要があります。

EDRは、脅威の侵入を許してしまったことを検出し、感染が疑われる端末・機器をネットワークから切り離したり、侵入経路を調査したりするために活用されます。また、マルウェアを駆除したりシステムを復旧したりする上で必要な対処をするのも、EDRの役割の一つです。

ふるまい検知とEDRを組み合わせてセキュリティをより強固に

脅威への備えを強化するには、ふるまい検知とEDRを組み合わせて活用していくことをお勧めします。ふるまい検知があれば未知の脅威が侵入することを極力防ぐことができます。しかし、万が一侵入されてしまった場合にはEDRによって速やかに初動対応を行うなど、より強固なセキュリティ対策を講じることが可能です。

ふるまい検知ツールの種類

ふるまい検知の機能を備えたツールには、エンドポイントセキュリティ型とネットワークセキュリティ型の2つのタイプがあります。エンドポイントとネットワークの両方でふるまい検知が可能な仕組みを確立すれば、脅威への備えをより強固なものにできます。ここでは、それぞれの特徴について解説します。

エンドポイントセキュリティ型

エンドポイントセキュリティ型とは、ソフトウェアを端末や機器にインストールして利用するタイプのふるまい検知ツールのことです。エンドポイントとは、PCやスマートフォン、タブレット端末といった端末のほか、サーバー、IoTデバイスなどの機器のことを指します。こうした末端のデバイスは、組織内のネットワークに脅威が侵入する際の入口となるケースが少なくありません。そこで、エンドポイントセキュリティを強化すれば、組織内にマルウェアなどが拡散されるリスクの低減が期待できます。ふるまい検知の機能を備えたツールを導入することは、エンドポイントセキュリティをより強固なものにする上で重要なポイントです。

ネットワークセキュリティ型

ネットワークセキュリティ型とは、ファイアウォールやネットワーク機器などに設置して利用するタイプのふるまい検知ツールのことです。ネットワーク機器から収集した情報を分析したり、サンドボックス(仮想環境)を活用して脅威を判定したりするツールなどがあります。エンドポイントを突破して組織内ネットワークに脅威が広がった場合に備えて、ふるまい検知によって脅威を検出する仕組みを構築しておくことがネットワークセキュリティ型ツールの主な導入目的です。

未知の脅威に備えるためにも、ふるまい検知によるセキュリティの強化が不可欠

組織が保有するIT資産は、常にマルウェアやウイルスの脅威にさらされています。また、過去に確認された既知の脅威に対応すれば、被害を未然に防げるとは限りません。攻撃者は、次々と新たなマルウェアを作り出し、未知の手口を駆使して組織が保有する端末やネットワーク、さらには保有データを狙っているからです。未知の脅威に備えるには、ふるまい検知の仕組みを早急に取り入れておくことをお勧めします。

クライアント運用管理ソフトウェア「SKYSEA Client View」は、未知のサイバー攻撃への対策も含め、エンドポイントセキュリティに特化したさまざまな機能を搭載。未知の脅威・脆弱性攻撃からクライアントPCを防御する次世代EDR(エンドポイントセキュリティ)製品と連携し、ふるまい検知によるマルウェアの発見・隔離や、ほかのクライアントPCの感染の有無も確認できる「EDRプラスパック」をご用意しています。さらに、情報セキュリティの専門チームが「EDRプラスパック」の運用・監視を行うサービスもあります。。

「SKYSEA Client View」であれば、PCの操作ログからマルウェアの感染原因を調査でき、事後の対応にもお役立ていただけます。ふるまい検知の仕組みを取り入れることにより、セキュリティ対策をより強化したい事業者様は、ぜひ「SKYSEA Client View」の活用をご検討ください。

お問い合わせ・カタログダウンロード
「SKYSEA Client View」のお問い合わせ・資料ダウンロードはこちらから