ウイルス検知法「パターンマッチング」~情報セキュリティ6(前)
- 目次
アンチウイルスソフトを選ぶなら、よいものを選びたい!
三ツ矢 御堂さん、御堂さん! また読者の方からおたよりをいただきましたよ。
〈 できるだけ強くて安心なアンチウイルスソフトを使いたいです。どんなものを選んだらいいですか? 〉ですって。
御堂 うーん。よく考えると結構むずかしい質問かも......。
三ツ矢 とりあえず高価なものを選んでおけば万事解決なのでは。
御堂 またそういう、「世の問題はカネですべて解決できる」みたいなこと言う~。......たしかに、高価な製品ほど高性能で防御力が高いかも、なんて考えてしまうのが人間の心理ですね。
でも、ことコンピュータ業界では「他社と同じ機能なのにネームバリューだけで高いもの」や、逆に「脆弱性があるのに強気な値段設定のもの」など、さまざまなものがあるのが実態です。お財布の都合もありますし、納得してお買い物したいですよね。
ちなみに僕としては、"強くて安心な"アンチウイルスソフトを選ぶなら、ぜひ「ウイルス探知の機能」に注目してみてほしいな、と思ってます!
今回は、まず「パターンマッチング」「ヒューリスティック検出」そして「ふるまい検知」という、ソフトの性能を見極める3つのキーワードを紹介しましょう。それに、「未知のウイルス」にも"強い"ソフトとはどんなものか、みなさんと探ってみたいと思います。
まずは「パターンマッチング」のしくみを知ろう
御堂 まずは、世のアンチウイルスソフトでよく用いられている、代表的なウイルス検出である「パターンマッチング」について知っておいてほしいんです。
三ツ矢 たしか、多くのウイルス対策ソフトは、危険なウイルスの「型」に照らし合わせることで、「こいつはあぶない!」というウイルスをはじき出しているんでしたよね。
御堂 そうです。ウイルスの「型(パターン、パターンファイル)」を参照して探知するその機能を、「パターンマッチング(パターン検知)」と言います。
「パターンマッチング」では、あるデータがコンピュータに悪影響を及ぼすものか否かを「型」にしたがって見分けています。警察が、容疑者の指紋・顔写真・足あとなどのデータをもとに捜索するように、一度ウイルスが発見されると、そのデータの文字列の「パターン」が記録されるんです。そのため、「パターンマッチング」は、ウイルスの誤検知が少ないというメリットがありますね。
「パターンマッチング」機能のデメリット
三ツ矢 「パターンマッチング」は、空港の出入国管理などで顔写真をチェックされるような感じなのかな。
御堂 まさにそうですね!......でも三ツ矢さん、その「パターンマッチング」機能だけで安心しちゃって、ホントに大丈夫ですかね?
三ツ矢 ............そう訊くってことは、安心しちゃダメってことですね?
御堂 さ、ここでちょっと、悪いコトをしようとするキモチを考えてみてください。悪いコトをしようと思ったら、変装したりして、あたかも"別人"であるようなふりをしませんか? 実際に、指名手配犯が整形して逃亡している、ということはよくありますよね。
三ツ矢 捕まらないようにするには、「見た目を変える」のが手っ取り早いですもんね。
御堂 「パターンマッチング」機能にも、盲点があります。それは、記録されたパターン通りのウイルス、要は"前科"のあるものはバッチリ見つけられても、パターンに合わないウイルスの検出には向いてない、ってことなんです。
「既知のウイルス」検知なら優秀だけど......
三ツ矢 つまり、いわゆる"前科"がないウイルスは、それを見分けるためのデータがないから、どんなに悪さをはたらくものでもスル―してしまうってことですか?
御堂 そのとおり! 「パターンマッチング」は、"前科"ありきの「既知のウイルス」を見つけだすのに特化した機能、ってことですね。
それに、もうひとつ盲点があります。それは、ウイルスのパターンを定義して「指名手配データ」をつくるのに、それなりに時間がかかる、ってことです。でも、この世界では、1日に何万件もの(!)新種のPCウイルスが発生していると言われています。新たなウイルスが発生する速度に、どうしてもパターン定義が追いつけないんですね。......そのパターン定義までのタイムラグで攻撃されてしまったら、被害を防ぎようがないわけです。
さてさて、そんなわけで、この「パターンマッチング」のデメリットを補うことができるのが「ヒューリスティック」や「ふるまい検知」というウイルス検知方法なんです!
三ツ矢 ひゅ、ヒューリ............? なんですか、それ。
御堂 なんだか長くなりそうなので、くわしくは次回、説明しますね。
三ツ矢 長い前置きだった! ついに本題に入る、次回もお楽しみに!
◆続きを読む:ヒューリスティック検知等の機能~情報セキュリティ(中)