2014年、「ウイルス対策ソフトは死んだ」という発言がIT業界で話題になりました。しかも、有力ベンダーの幹部による発言だっただけに、このことはセンセーショナルに受け止められたものでした。しかしその真意とは、「従来の（パターンファイルでウイルスを検出する）ウイルス対策ソフトは死んだ」であり、パターンファイルによるウイルスの検出方法が限界に来たということです。ここでは、パターンファイルによるウイルスの検出がなぜ限界を迎えたのか――その理由とこれから主流になると思われる検出技術について解説します。

ウイルスとウイルス対策ソフトの進化とは？

ウイルス対策ソフトは、一般的にユーザーのクライアントPCにインストールするソフトであるため、インターネットのゲートウェイに導入されるものと区別して「エンドポイントセキュリティソフト」とも呼ばれます。ウイルス対策ソフトは、文字通りウイルスを検出して隔離、あるいは削除するソフトであり、その歴史はPCの黎明期にまでさかのぼることができます。

ウイルスが問題視され始めたのは、PCやインターネットが普及しはじめ、ユーザーが急増した時代です。初期のウイルスは、感染するとPCの画面表示をおかしくするなど、分かりやすいことが特徴でした。これはウイルス作成者のほとんどが、自分の技術の高さをアピールすることを目的としていたという背景があります。ウイルス対策ソフトもこの時期に続々と登場しました。

当時のウイルス対策ソフトが主に採用していた検出技術が「パターンファイル」です。パターンファイルは、定義ファイルやシグネチャとも呼ばれます。ウイルス対策ソフトのメーカーは、新たに登場したウイルスを検体として入手し、分析した上でファイル名やプログラムコードの特徴的な部分を抜き出し、パターンファイルを作成しました。ウイルス対策ソフトは、メールなどで受信したファイルをパターンファイルに照らし合わせ、ウイルスかどうかを判断していました。

パターンファイルによるウイルス対策ソフトの仕組み

さらに時代が進み、インターネットやWindowsのユーザーがより増えると、ウイルス作成者たちはいかに多くのPCを感染させられるかを競うようになりました。企業のネットワークに深刻な影響を与えるワームも登場しましたが、それでも自身の技術力を鼓舞するウイルス作成者が多かった時代でした。主に流行したのは「マスメーリングウイルス」と呼ばれるもので、感染するとPCの「連絡先」にアクセスし、登録されているメールアドレスにウイルス付きのメールを大量送信しました。

この時期には、ウイルス作成者同士の競争から亜種も大量に発生しました。亜種とは、一つのウイルスプログラムを一部だけ変更し、パターンファイルの検知をすり抜けようとするものです。これによりウイルスの種類が爆発的に増加し、それに対応するためにウイルス対策ソフトのパターンファイルも徐々にサイズが大きくなっていきました。パターンファイルの更新頻度も高くなり、一日に数回アップデートされるケースも珍しくなくなりました。

パターンファイルが肥大化すると、さまざまな悪影響が出てきます。特に企業の場合は、始業時に社員が一斉にPCを起動して、ウイルス対策ソフトも一斉にパターンファイルのダウンロードを開始し、ネットワークのトラフィックを圧迫するという事態が発生しました。これは「午前9時問題」と呼ばれました。パターンファイルのサイズが大きくなることで、PCのスキャンにも時間がかかるようになり、PCの処理速度にも悪影響を与えました。

この頃になると、ウイルス作成者側に変化が現れます。それまで個人が自らの技術を鼓舞するためにウイルス感染を引き起こしていましたが、金銭を目的とした犯罪者グループが台頭してきたのです。分業化や組織化が進み、場合によっては国から依頼を受けてサイバー攻撃を行うようになります。潤沢な予算によってウイルスも巧妙化、複雑化し、あらかじめウイルス対策ソフトで検出されるかどうかをシミュレーションできるサービスも登場しました。

そして、サイバー犯罪者の組織化によって登場したのが標的型攻撃です。特定の企業や政府機関などを標的にして、あらかじめSNSなどで標的の情報を精査し、従業員の人間関係まで調べ上げた上で、上司や知り合いをかたる「標的型攻撃メール」を送ります。メールの添付ファイルやメール本文内のリンクから誘導されるWebサイトからの「ドライブ・バイ・ダウンロード攻撃」によってウイルスに感染させ、組織内で感染を広げて、重要な情報にアクセスして盗み出します。

標的型攻撃で使用されるウイルスは、その特定のターゲットのためにカスタマイズされた新種ばかりですので、既知のウイルス情報を蓄積したパターンファイルでは検出できません。攻撃者は最初の攻撃に成功すればいいので、事実上パターンファイルによる保護は役に立たなくなったのです。ウイルスの行動も、インターネット通信など一般的に使用されるプロトコルを利用して通信を行うなど、検知されないよう隠蔽化が進みました。

現在では、サイバー犯罪のエコシステム化も進んでいます。最も高度な標的型攻撃に使用されたウイルスは、一般的な攻撃に再利用されるようになり、その手法はランサムウェアにも引き継がれています。ウイルスやその亜種の数も膨大になった現在、パターンファイルによる保護は現実的ではなくなり、それが冒頭での「ウイルス対策ソフトは死んだ」という発言につながったのです。

1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.