マルウェアのサンプルデータから“犯人”を照合!
日本で初めてのISP(インターネットサービスプロバイダ)がサービス開始したのが1992年。気が付けば国内だけでも、インターネットは25年を越える歴史を持っていることになります。特に1990年代後半からは、新しい情報発信メディアとして急速な発展を続けてきました。インターネットの歴史はそのまま、新しいメディアを悪用したサイバー犯罪者、そして彼らが生み出すマルウェアとの戦いの歴史でした。メールに添付されて届きシステムに悪さをする古典的なマルウェアから、「トロイの木馬」、近年流行したランサムウェアといった多種多様なマルウェアがつくりだされてきたのです。そしてマルウェアは、時間が経ったからといってなくなるものではありません。今もなお広大なインターネットの世界に散らばって、どこかで感染のチャンスをうかがっているのです。
サイバー犯罪者はさらなる悪事を働こうと、新たな手口を探ってすらいます。インターネットの歴史が長くなるほど、マルウェアの数は増える一方ということになります。セキュリティソフトは長年にわたり、マルウェアを素早く検知し駆除することを主要な機能としてきました。その基本的な考え方としては、既知のマルウェアのデータを蓄積して、パターンを分析し、パソコン内の脅威を予測、検出、駆除する、というパターンマッチングの手法が挙げられます。いわば犯人の「人相書き」を照合していって、「犯人」を発見する方法です。危険度の高いパターンと合致したものを検出するブラックリスト方式のほか、逆に「安全」と認められたファイルやソフトだけ使用を認めるホワイトリスト方式があります。
長らくマルウェア対策は、このパターンマッチング――世界中で発見されたマルウェアのサンプルを収集し、パターンファイルを作成、照らし合わせる――を中心に行われてきました。この方法であれば、適切にパソコンやデバイスをスキャンしている限り、既知の脅威を確実に食い止められるのは大きな利点といえます。セキュリティソフトがどれだけたくさんの脅威から守れるのかは、パターンマッチングの仕組み上、いかに素早く・大量の「人相書き」を集められるかにかかっています。そこで多くのセキュリティソフト会社は、世界中にラボを設け、マルウェア情報の収集・分析に努めてきました。
「人相書き」がある限り「犯人」を突き止められるパターンマッチングは、少なくとも既知のマルウェアへの対応には、今後も有効性がある手法であり続けるでしょう。とはいえ近年では、技術の進化とともに、サイバー犯罪者がマルウェアを生み出す技術やスピードも進歩しています。マルウェアからガードする側であるセキュリティソフトも、最新技術を導入。大量の「人相書き」をダウンロードするのではなく、クラウド上のパターンファイルを参照することでパソコンの負担を減らしつつより高度なスキャンを可能にしたり、疑わしいファイルを隔離して分析する「サンドボックス」といった技術を導入したりしています。とはいえ次々と生まれる最新タイプを、セキュリティソフト会社もまた次々に捕捉していくという、いたちごっこの状況がいつまでも続いているのが現状です。