企業や機密性の高い組織が、安全なITシステム運用を行う上で最大の脅威になるのがマルウェアです。近年のサイバー攻撃は非常に巧妙化しており、ITシステムをマルウェアから確実に守るためには、まず的確に検知することが必要不可欠です。さまざまな検知方法について知る前に、マルウェアの基本概念から理解しましょう

マルウェア（malware）とは、「悪意のある（malicious）ソフトウェア（software）」という意味の造語です。不正で悪意のあるコードやソフトウェアの総称で、コンピューターウイルス、ワーム、トロイの木馬、ランサムウェアなどさまざまな種類があります。マルウェアは、ITシステムを不正に乗っ取る、破壊する、機密情報を抜き取る、流出させるなど、企業に甚大な被害をもたらす恐れのある非常に危険なソフトウェアです。

 違法なデータ侵害や情報漏洩などの深刻な被害を引き起こすマルウェアは、早期発見して対処することが重要です。マルウェアの検出は目視では難しいため、ウイルス対策ソフトウェアやファイアウォール、 IDS（侵入検知システム） など、専門のセキュリティツールの導入が必要です。

セキュリティツールは、自動的にマルウェアの検知や駆除を実行します。さまざまな方法があるため、企業のセキュリティ方針やリソースなどに合わせて、適切なツールを選定しましょう。

マルウェア検知ツールには、有償のものと無償のものがあります。代表的なツールに、無償のものにマイクロソフト社のMicrosoft Defenderなど、有償のものにシマンテック社のノートン アンチウイルスやトレンドマイクロ社のウイルスバスターなど、セキュリティベンダー製品があります。

Windowsセキュリティは、Windows 10以降に標準搭載されているセキュリティ機能です。ここにMicrosoft Defenderという無償のセキュリティソフトウェアが含まれます。Microsoft Defenderは、Windowsをバックグラウンドでリアルタイム保護し、マルウェアの検知・駆除、クラウド保護、ウェブ保護、不正侵入の防御などの機能を搭載し、定期的なアップデートにより最新の脅威にも対応可能です。

ただし、有償のセキュリティツールと比較して機能面での制約があり、未知のマルウェアの検知、迷惑メール対策や盗聴対策、操作性、緊急時のサポートなどが不足しているため、必要に応じて、市販のツールやサービスを併用することをおすすめします。

Microsoft Safety Scannerは、Microsoftが無償で提供する オンデマンドの セキュリティツールです。Windows OS上で動作するダウンロードソフトウェアで、マルウェアの検知・駆除を行います。

ただし、定期的に起動してスキャンを行わなければ意味がありません。またマルウェアを防御する機能はないため、Microsoft Defenderなど常駐型のセキュリティソフトと組み合わせて利用する必要があります。

無償のツールでも、マルウェア検知の基本的な機能は搭載されているため、コストをかけずに一定水準のセキュリティを確保することができます。

しかし、有償のツールの方がより高度な機能や操作性を提供していることが多く、サポートも充実しているため、企業や機密性の高い組織など、高度なマルウェア対策が必要な場合は、必要に応じて有償ツールの導入も検討することが重要です。

巧妙で複雑になっていくマルウェアにいち早く検出して対処するためには、信頼性の高い方法が求められます。マルウェア検知に使用される主要なツールや仕組みを紹介します。

ウイルス対策ソフトは、マルウェア検知の代表的なセキュリティツールです。後述する「シグネチャベースの検出」や「機械学習による振る舞い検知 」等の技術を使用して、ハードディスクや外部メディアをスキャンし、既知のマルウェアを特定して隔離します。

シグネチャベースの検出で使用されるシグネチャパターンは、マルウェアの特徴的な性質を示すもので、ウイルス定義ファイルとも呼ばれます。定期的なシグネチャパターンのアップデートにより、最新のマルウェアにも対応可能です。

サンドボックスは、疑わしいファイルやプログラムを、サーバーや端末と隔離した領域で実行するための仮想環境です。ローカルアプリケーションやネットワークリソースに影響を与えずに、その挙動を安全に検証できます。既知のマルウェアだけでなく、サンドボックスで実行した時の挙動から脅威を検出できるのが特徴です。

しかし実際にマルウェアを実行するため、被害を受けるリスクがあります。そのため、サンドボックスの環境構築には、適切な設計やツール選定を行うことが重要で、高度な専門知識が必要です。

EDR（Endpoint Detection and Response：エンドポイント検出・対応）は、マルウェア感染前の検知・除去を行うウイルス対策ソフトEPP（Endpoint Protection Platform：エンドポイント保護プラットフォーム）と連携して、マルウェア感染後の対応を行うサービスです。

PCやスマートフォン、IoT機器、サーバーなどの端末（エンドポイント）をリアルタイムで監視して、振る舞いを解析します。マルウェアの侵入など、異常や不審な動きを検知した場合は、速やかに管理者に通知し、感染拡大を防止するためのサポートを行います。未知のマルウェアにも対応可能です。

ファイアウォール（Fire Wall：防火壁）はその名の通り、外部からの不正アクセスを遮断する壁となり、マルウェアの侵入を防ぐ仕組みです。通信をパケット単位で解析する「パケットフィルタリング型」、ポート制御の機能を加えた「サーキットレベルゲートウェイ型」、アプリケーションプロトコル毎に解析する「アプリケーションゲートウェイ型」があります。

IDSとIPSは、ネットワークやシステムの通信を監視、不正アクセスや攻撃を検知し、対応するためのツールです。IDS（Intrusion Detection System：侵入検知システム）が、検知して管理者に通知するにとどまる一方、IPS （Intrusion Prevention System：侵入防止システム）は、検知して通知した上で、通信を遮断します。

ファイアウォールとIDS・IPSを協調して運用することで、マルウェアへの多層防御が可能になります。

マルウェア検出技術は、多様化するマルウェアに対抗するため、日々進化しています。検出に使用されるさまざまな技術について、特徴や機能を解説します。

シグネチャベースの検出は、IoC（Indicator of Compromise：侵害の痕跡）としてマルウェアが持つ特徴的な構造やパターンなど（シグネチャ）をデータベース化し、疑いのあるファイルと照合して、マルウェアを検出する技術です。

既知のマルウェアに対しては高い検出率を誇りますが、未知のマルウェアや、特定の企業や組織をターゲットとする標的型攻撃の検出が難しいという弱点があります。また、シグネチャデータベースを常に最新の状態に保つ必要があるため、維持・管理コストがかかります。

振る舞い分析は、AIによる機械学習（ML）や統計的な解析技術により、異常な振る舞いを検知する技術です。通常とは異なる日時、端末、場所からのアクセス、大量のプログラム実行やファイルダウンロード、不正なユーザー認証や大量のアクセス試行など、前例のない挙動をマルウェアとして検知します。

機械学習により未知のマルウェアや変異型にも対応可能で、マルウェアの検出能力は高いものの、精度の向上が課題となっていて、検出率や検出速度、リソースの効率化など、改善が重ねられています。

ファイルエントロピーは、ファイルのデータ組成を分析してランダム性 （エントロピー） を測定し、 その変化を観察して マルウェアの可能性があるファイルを特定する技術です。

ファイルに隠しデータや埋め込みスクリプト、バイナリーコンテンツなど、不正なデータを含んでいる場合は、エントロピーが高くなります。圧縮されていないのにエントロピーが高いファイルや、ファイルの内容が予期せず変更されている場合にも、マルウェアの可能性があります。

チェックサムは、データの送信前と受信後のチェックサム値を比較することでファイルの完全性を検証して、データの改ざんを検出する技術です。データベース化した既知のマルウェアのチェックサム値を、ファイルのチェックサム値と比較してマルウェアを検知します。

CRC（Cyclic Redundancy Check：巡回冗長検査）は、チェックサムをさらに複雑にしたもので、エラー発見の性能が高く、エラーの数や位置によらず発見可能です。

いずれも処理が単純かつ軽量で、初期段階で迅速なマルウェア駆除を行うことができます。未知のマルウェアには対応できませんが、他の技術との組み合わせで検知率が上がります。

信頼できるアプリケーションを許可リスト（ホワイトリスト）に登録し、許可されていないアプリケーションの実行を禁止する技術です。実行を試みるとマルウェアとして検出されます。未知のマルウェアにも対応可能です。新しいアプリケーションを追加する度に、許可リストを更新する必要があるため、維持・管理コストがかかります。

危険な実行ファイルの拡張子（.exe、.dllなど）をブロックリストに登録し、実行を禁止する技術です。実行を試みるとマルウェアとして検出されます。アプリケーション許可リストと連携して、総合的に制御することをおすすめします。

偽装された拡張子もあるため注意が必要です。単一のブロックリストだけに頼らず、レイヤー化された対策が求められます。

ハニーポットは、「おとり」として、不正アクセスしやすいような脆弱性のあるOS、アプリケーション、ファイルなどをあえて配置して、攻撃者を誘引するための技術です。マルウェアがハニーポットにアクセスすると、攻撃方法や動き、対応するための情報を収集できます。また、攻撃の目をハニーポットに向けることで、重要な情報やシステムを守ることもできます。

「高対話型ハニーポット」、「低対話型ハニーポット」、「仮想ハニーポット」があり、それぞれ構築や保守の難易度、リスクの大小、収集できる情報の量などが異なるため、適切なものを選ぶ必要があります。

静的ファイル分析は、ファイルを実行せずに、ファイルの構造や挙動、コードを解析して、マルウェアを検出する技術です。実行前に脅威を特定できるため、リソースを消費せず、被害を受けずに済みます。

ファイルヘッダ、ファイル名、ハッシュ、セクション構造、IPアドレス、文字列、API呼び出しなどを解析し、マルウェアの特徴と照合します。難読化やパッキングなどの回避手段に対応できないため、未知のマルウェアを検知できないという弱点があります。動的マルウェア分析と併用することで、検知の精度が上がります。

動的マルウェア分析は、ファイルを実行して、その振る舞いを監視することでマルウェアを検出する技術です。実際に実行するため、実行時の脅威を詳細に分析できます。リソースを大量に消費し、サンドボックスという安全な環境で実行するものの、被害を受ける可能性があるため、分析環境の設計やツール選定が重要です。

プログラムのメモリ利用、レジストリ変更、API呼び出しなどを解析し、マルウェアの振る舞いのパターンと照合します。未知のマルウェアの検知や特徴付けが可能です。

大量のファイル操作を行うマルウェアの振る舞いを動的にモニタリングして、マルウェアを検知する技術です。エンドポイント、サーバーやネットワークのファイル入出力動作をリアルタイムに監視し、大量のファイルの暗号化やダウンロード 、重要データの流出など、異常な大量ファイル操作が発生していないかを確認します。

ファイル操作の振る舞い傾向を機械学習でモデル化しておき、パターンから逸脱した時に検知できます。正常と異常の区別を明確にすることで、誤検知のリスクを低減できます。膨大な端末を一元管理するためリソースが必要になります。

マルウェア検知サービスは、提供形態によって大きく二つに分かれます。需要や環境に応じた選択が必要です。

オンサイト型は、マルウェア検知サービスを企業の内部ネットワークに直接導入する形態です。専用の機器やソフトウェアにより、マルウェア検知を自社運用します。

企業のセキュリティポリシーに緻密に合わせた、高度なカスタマイズが可能です。また、内部データが外部に漏洩するリスクを最小限に抑えられるため、機密性の高い情報を扱う企業や組織に適しています。一方、初期コストは高くなります。

リモート監視型は、マルウェア検知サービスを企業のネットワーク外部に導入する形態です。クラウドやデータセンターを通して、マルウェア検知サービスプロバイダーが運用します。

月額料金を支払うだけで、手間なく迅速に開始できます。また、サービスプロバイダーの専門知識を活用でき、最新のマルウェア検知機能を導入できます。低コストでの運用が可能なため、リソースが限られている中小企業に適しています。

マルウェア検知サービスは、企業のセキュリティを強化し、マルウェアの脅威から身を守るために必要不可欠です。信頼性と検知能力が高い5つのサービスについて、特徴を解説します。

Symantec Endpoint Securityは、高度な機械学習や振る舞い検知による、包括的なエンドポイント保護を提供するサービスです。マルウェアの検知だけでなく、ランサムウェアなどの脅威からも保護します。

LANSCOPE サイバープロテクションは、AIの活用による、エンドポイントにおける脅威の検知と対応を提供するサービスです。

Jamf Protectは、Mac特有の脅威に対する、エンドポイント保護とコンプライアンス監視を提供するサービスです。

マルウェア検知・対処支援サービスは、メールや通信パケットの監視により、マルウェアの検知・分析・駆除・復旧対応まで、トータルサポートを提供するサービスです。

BitDamは、新種マルウェアに特化した対策支援サービスです。メールやファイルなどをリアルタイムで分析し、独自技術により未知のマルウェアに対応します。

マルウェアは、企業や機密性の高い組織のITシステムを乗っ取り、重要なデータを不正に流出させ、金銭を要求するなど、甚大な被害をもたらす脅威です。そのため、マルウェアの検知は、最重要と言っても過言ではない必要不可欠なセキュリティ対策の方法です。

マルウェア検知のツールや仕組みである、ウイルス対策ソフトEPP、EDR、サンドボックス、ファイアウォールとIDS、IPSなどのメリット・デメリットを考慮し、それぞれの需要や環境に合わせて選択する必要があります。複数を組み合わせて運用することで、高度な検知が可能になります。

これらのツールや仕組みを支えるため、シグネチャベースの検出から振る舞い検知、静的・動的分析、許可リストとブロックリストに至るまで、さまざまな技術が利用されています。既知の脅威だけでなく、未知の脅威にも対応するため、これらの技術は日々進化し続けています。

最新のマルウェアには、ポリモーフィック・変種・メタモーフィック、パッキング・圧縮、難読化など、さらに検知や解析が困難な技術が登場しています。マルウェアはますます巧妙化、複雑化、高度化しており、これに対抗するため、セキュリティベンダーによる新たな技術や仕組みの開発も急速に進み、AI、機械学習や深層学習の進歩も待たれています。

マルウェアを巡り、セキュリティベンダーと攻撃者の間で、終わりのない攻防が繰り広げられています。技術革新やツールやサービスの導入に留まらず、企業や組織から個人まで、セキュリティ意識の向上や教育を徹底していくことも求められています。この記事が、マルウェア検知の理解を深め、適切なサービスを選択する一助となることを願っています。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。