ウイルス対策ソフトウェアは大幅に変更されています。伝統的に、 ウイルス対策ソフトウェア 既知のマルウェア シグネチャのデータベースとファイルを照合することに依存します。しかし、今日の脅威はあまりにも急速に進化しているため、既知のマルウェア シグネチャのデータベースが確実に追いつくことができません。
このように考えるとわかりやすいかもしれません。古いウイルス対策ソフトウェアは、カウンターの後ろに悪役の写真を積み上げたナイトクラブの用心棒のように機能していました。ファイルが既知のマルウェアのシグネチャと一致する場合、そのファイルは廃棄されます。それが起こらなかった場合、悪者は通常、サングラスとつけひげを生やしてすぐに入ってきます。
しかし今では、このソフトウェアは玄関で名前を確認するだけでなく、行動を追跡します。予測機能を拡張するために、多くの最新のウイルス対策プラットフォームは、脅威が完全に分類される前に不審なアクティビティを検出するために、機械学習、行動分析、リアルタイム監視にますます依存しています。
つまり、効果的なウイルス対策ソフトウェアは、既知のマルウェアが出現した後にそれを検出するだけでなく、脅威が完全に実行されたりシステム全体に拡散したりする前に不審な動作を検出できることを意味します。
ここでは、最新のウイルス対策ソフトウェアがどのように機能するかを正確に説明し、適切なセキュリティ サービスを見つけるためのヒントをいくつか紹介します。
既知の脅威を検索するために使用されるウイルス対策ソフトウェア
パーソナル コンピューティングの初期の頃から、ウイルス対策ソフトウェアは主に検出を通じて機能してきました。セキュリティ会社はマルウェアを調査し、既知の脅威に対する固有のシグネチャを推定し、それらのアップデートをユーザーにプッシュしました。
ウイルス対策ソフトウェアは、ファイルをスキャンしてデータベースと比較するようにプログラムされています。何かが一致するとアラームが鳴りました。セキュリティ会社がマルウェア データベースを十分な速さで最新の状態に保つことができる限り、このシステムはかなりうまく機能しました。
しかし、悪意のある攻撃者はコードを動く標的のように扱い、マルウェアはそれを阻止するために構築されたモデルよりも速いスピードで開発されています。
たとえば、拡散するたびにコードの一部を変更するポリモーフィック マルウェアは、感染のたびに同じに見えることを避けます。変型マルウェアは、各バージョンが前回とは根本的に異なるようにコードを書き換えます。 ゼロデイ攻撃 セキュリティ ベンダーが保護機能やアップデートを作成する前に、新たに発見されたソフトウェアの脆弱性をターゲットにします。
この程度のスピードは大きな問題を引き起こします。マルウェアの作成者は、研究者が手動で分析してカタログ化するよりも速く、無限のバリエーションを作成できるようになりました。シグネチャ データベースは依然として重要ですが、すでに本質的に緩い脅威への対応がますます進んでいます。
ウイルス対策ソフトウェアがこの動作を認識するようになりました
ウイルス対策ソフトウェアは、不審な動作を監視するために進化し始めました。プログラムは明確な理由もなくファイルを暗号化しますか?保護されたメモリを覗いたり、午前 3 時に見知らぬサーバーに静かに接続したりしているのでしょうか?現在の目標は、窓が割られる前に不正行為を検出することです。
最新のウイルス対策ツールの中には、メモリ アクセス、暗号化アクティビティ、およびネットワーク トラフィックとともに、API 呼び出し (特定のアクションのためにプログラムがオペレーティング システムまたは他のソフトウェアに対して行う要求) をリアルタイムで追跡するものがあります。ファイルに見覚えがあるかどうかだけでなく、動作がおかしくないかどうかもチェックします。
通常使用されているアプリでは、いくつかのドキュメントを開いたり、サーバーに接続したりすることがありますが、マルウェアは大きく異なる動作をする傾向があります。たとえば、何百ものファイルを迅速に暗号化したり、他のプロセスにコードを挿入したり、セキュリティ機能を無効にしたり、明確な理由もなく疑わしいサーバーに接続しようとしたりする可能性があります。
ここで異常検出が役に立ちます。ウイルス対策ソフトウェアは、「通常の」システム アクティビティがどのようなものであるかを大まかに理解し、その範囲から外れる動作を監視します。たとえマルウェアがこれまでに見たことのないものであっても、その活動自体が警報を発するほど疑わしいものである可能性があります。
プロセスがネットワーク上のドキュメントを突然ロックし始めたり、より高いシステム権限を繰り返し取得しようとしたりしても、セキュリティ ソフトウェアは、何か怪しいことが起こっていることを認識するために必ずしも署名を必要としません。
これが非常に重要である理由を示す最良の例はおそらくランサムウェアです。これらの攻撃は、従来のシグネチャ データベースが正確に対応できないほど急速に拡散することがよくあります。動作分析により、ウイルス対策ソフトウェアは攻撃の動作パターンを特定し、すべてが暗号化されたアルファベットのスープになる前に攻撃を阻止できます。
機械学習モデルは悪意のあるパターンを識別するようにトレーニングされています
機械学習システムは、既知のマルウェア シグネチャのデータベースに完全に依存するのではなく、悪意のあるファイルと正規のファイルの両方の膨大なコレクションを使用してトレーニングされます。マルウェアの活動に現れる傾向のあるパターンを探すことで、モデルは時間の経過とともに、どの動作の組み合わせがマルウェアに最もよく関連しているのか、また通常は無害であるのかを学習します。
トレーニングが完了すると、システムはリスクに基づいてファイルとプロセスを分類できます。一部のウイルス対策ツールは、プログラムの不審性を反映するスコアを割り当て、ファイルを安全、不要、悪意のあるなどのカテゴリに分類する場合があります。このプロセスでは通常、多くの小さな信号を組み合わせて結論に達します。
このために、Microsoft、CrowdStrike、SentinelOne などの企業の製品を含む、さまざまな機械学習モデルが使用されます。技術的な詳細は異なりますが、広範な目標はすべて同じです。つまり、誰も見たことがないという理由だけですり抜けてしまうマルウェアの量を減らすことです。
デシジョン ツリーは、脅威を分類するためにアクティビティを一連のルールベースの決定に分解します。サポート ベクター マシンはパターンを分析し、学習したデータの関係に基づいて悪意のあるアクティビティを通常のアクティビティから分離します。ニューラル ネットワークは大量の情報を処理して、手動で定義するのがより困難なパターンを明らかにします。
主なポイントは、最新の AI 主導のウイルス対策システムでは、トラブルを検出するために必ずしもシグネチャが完全に一致する必要はないということです。新しいマルウェアが既知のマルウェアと同様に動作する場合でも、システムがそれを検出できる場合があります。
目標は、マルウェアが姿を現す前に検出することです
セキュリティ ツールが問題を引き起こす前にマルウェアを捕捉しようとする方法の 1 つは、サンドボックス化と動的分析です。疑わしいファイルは隔離された環境 (サンドボックス) で開くことができ、メイン システムと通信する前にその動作が安全に監視 (動的分析) されます。
その結果、ウイルス対策ソフトウェアが起動します エンドポイントの検出や対応など、より広範なセキュリティ システムと統合します。 (一般に EDR と呼ばれます) と、ネットワーク上で不審なアクティビティを継続的に検索する脅威ハンティング ツールが含まれます。ウイルス対策ソフトはデスクトップの隅で動作する静かな小さなスキャナーであるという昔ながらの考えは消えつつあります。
AIはマルウェアも改変する
このすべての中で不快な点は、セキュリティ企業がよりスマートな防御を構築するのに役立つ同じ AI 技術が、攻撃者がよりスマートなマルウェアを構築するのにも役立つ可能性があることです。研究者らは、悪意のある者が機械学習システムを混乱させたり、検出精度を低下させたりすることを目的としたマルウェアを設計する方法をすでに実証しています。
長期的な懸念は、その動作をその場で適応させるマルウェアです。着陸した環境に応じて動作が変わります。完全に自己学習するマルウェアは、まだほとんどが研究論文の段階にありますが、セキュリティ研究者は、攻撃者がその方向に進むとますます予想しています。
同時に、AI を活用したウイルス対策はまだ完璧には程遠いです。疑わしい動作は必ずしも悪意があるとは限らないため、誤検知は依然として頭の痛い問題です。これらのシステムの多くは、継続的な監視と大量のテレメトリ データにも依存しています。 一部の人が乗り気でないプライベートな質問をする。
これはすべてエキサイティングに聞こえますが、ディフェンダーが向上し、攻撃者が適応し、遅れを避けるために全員が走り続けるという同じ古いサイクルの一部です。
常に堅牢なウイルス対策ソフトウェアを使用する
最近のウイルス対策ソフトウェアは以前よりもはるかに優れています。ほとんどの人にとって、基本的なマルウェア保護には Windows と macOS に組み込まれている保護機能で十分でしょう。 マイクロソフトディフェンダー また、Apple の XProtect は長年にわたって大幅に改善されており、サードパーティのラボ テストでは、ほとんどの主要なウイルス対策プラットフォームで高いマルウェア検出率が定期的に示されています。
サードパーティのウイルス対策ソフトウェアの追加レイヤーを適用した後、 まだ重要そして、多くの有料セキュリティ パッケージは現在、ペアレンタル コントロール、ID モニタリング、ランサムウェア保護、 VPNサービス、 パスワードマネージャー プラットフォーム全体でより広い範囲をカバーします。
確立された企業が提供する正規のフリーミアムウイルス対策ツールもいくつかありますが、一部の製品は積極的なデータ収集、広告、アップセルに大きく依存しているため、無料のセキュリティ ソフトウェアには注意が必要です。
さらに大きな問題は、現代のサイバー攻撃がデバイスだけでなく人間をターゲットにすることが増えていることです。フィッシング、認証情報の盗難、偽のログイン ページ、ソーシャル エンジニアリング攻撃は、技術的にはそもそもコンピュータに悪意のあるものは何も到達しないため、ウイルス対策ソフトウェアを完全にバイパスすることがよくあります。
脅威に対する保護を最大限に高めるには、強固なウイルス対策サービスを常に次のような良い習慣と組み合わせる必要があります。 利用可能な場合はパスワード キーを使用する更新された均一なソフトウェアを維持する 個人情報盗難のリスクを軽減するためにクレジットを凍結します。
ソフトウェアは賢くなっていますが、サイバーセキュリティはキーボードの前に座っている人に大きく依存しています。
