機械制御/振動騒音
IR情報 会社情報

ヒューリスティックスキャンとサンドボックスについて

Curtis Cade氏、2015713

 

マルウェア対策業界で働くほとんどの人は、シグネチャベースの検出についてよく理解しています。この検出方法では、ファイルに悪意があると判断された場合、シグネチャが作成されて、それ以降マルウェア対策プログラムがそのファイルまたはコンポーネントを検出できるようになります。脅威の数はさらに増え続け、1種類のシグネチャの有効期間も短くなっており、シグネチャベースの検出にとっては厳しい脅威検出環境となっています。
このような問題があることから、より効果的に現在のリスクに対応するには、ヒューリスティックスキャン、サンドボックス、マルチスキャン (複数のマルウェア対策エンジンによる脅威のスキャン) など、シグネチャベースの検出を補足する必要が生じてきています。この投稿では、ヒューリスティックスキャン(検出率を上げるマルチスキャンソリューションにおいてシグネチャベースの検出とともに使用される)とサンドボックスの両者の長所と短所について説明します。

ARBOR 
 

ヒューリスティックスキャンについて

ファイルで検出されたシグネチャを既知のマルウェアデータベースのシグネチャと照合するシグネチャベースのスキャンとは対照的に、ヒューリスティックスキャンは、ルールやアルゴリズムを使用して、悪意を示す可能性のあるコマンドを探します。この方法により、一部のヒューリスティックスキャン方法では、シグネチャを必要とせずにマルウェアを検出できます。そのため、ほとんどのウイルス対策プログラムが、検出を逃れようとするあらゆるマルウェアをつかまえるために、シグネチャとヒューリスティックの両方の方法を組み合わせて使用しています。

 

ヒューリスティックスキャンの長所

  • ヒューリスティックスキャンは、通常、サンドボックスよりかなり高速です。これは、ファイルを実行してから行動の記録を待つという方法をとらないためです。ただし、一部のエミュレーションベースの技術は例外です。
  • ベンダは、マルウェア作成者に詳細を知られることなく、新しい脅威手法に基づいた毎日のアップデートパッケージにより、ヒューリスティックエンジンのルールを変更できます。
  • (サンドボックスとは異なり) マルウェアのフラグ付けに関する詳細が表に出ないので、マルウェア作成者は、検出を逃れるためには何を変更すべきなのかが分かりません。
  • ヒューリスティックスキャンは、マルウェア作成者が狙う盲点によりサンドボックス検出を回避できるようなマルウェアでも、検出することができます。
 

ヒューリスティックスキャンの短所

  • サンプルをスキャンする場合、検出される情報は一般的に脅威の名前に限定されます。
  • これらのエンジンは、悪意のある行動を示す特定のコードを探すため、以下の2つの短所が生じる可能性があります。
    • ベンダが、ある特定のアクションについて検出を確立していない場合、マルウェアは検出を回避します。
    • 悪意のある行動が (たとえば、暗号化ファイル内で) 難読化に成功している場合、検出は回避されます。
  • 一部の古い方式のヒューリスティックスキャンは、悪意が疑われるファイルの兆候を示すさまざまな行動を探すため、誤検知を報告する傾向が高くなります。ただし、ジェネリック検出などの新しい方式のヒューリスティックスキャンでは、誤検知の頻度は少なくなりました。ジェネリック検出は、既知の脅威に共通する特徴や行動を探すことによって、検出を行います
     
 

サンドボックスについて

サンドボックスは、一般的には仮想的な (場合によっては物理的な) 、ある種の専用環境によって構成されています。そこでは、悪意の可能性があるファイルが実行され、その行動が記録されます。次に、記録された行動が、サンドボックスの重み付けシステムによる自動解析や、マルウェアアナリストによる手動解析で、分析されます。この分析の目的は、ファイルに悪意があるかどうかを判別し、悪意がある場合、ファイルの動作を正確に調べることです。

 

サンドボックスの長所

  • サンドボックスは、分析対象のファイルを実際に開くので、その個別の環境におけるファイルの動作を正確に詳しく調べることができます。
  • ほとんどのサンドボックスのレポートには、バイナリのyes/noや脅威の名前ではなく、記録した行動に関する詳細情報が示されます。ファイルの分類に関する情報をさらに多く提供するほか、この方式は、インシデントレスポンス環境において、ファイルの目的を正確に特定し、どのような効果があるかを理解するうえで、特に役立ちます。
  • 製品により異なりますが、多くの場合、きわめて柔軟に環境をカスタマイズすることができます。たとえば、特定のユーザのマシンのみで完全実行するように設計されたマルウェアを再現することができます。
 

サンドボックスの短所

  • 商用サンドボックスで使用できる方法論およびカスタマイズは可視化されているので、マルウェア作成者が検出を回避する特定の動作を構築することが可能になります。これは主に以下の2つに分けられます。
    • 「サンドボックス認識」マルウェアは、それ自身がサンドボックス内で実行されていることを認識できるので、悪意のフラグを立てられないように、異なる行動を取ります。たとえば、単に仮想マシンでは稼働しないというシンプルな場合もあれば、サンドボックス固有のサインを探すといった高度な場合もあります。
    • 盲点は製品により異なりますが、場合によっては、特定のサンドボックスのセンサで検出されないような方法によって悪意ある行動をするための抜け道が、マルウェア作成者によって作成されています。
  • サンプルを実行する環境と、完全なレポートを収集する時間が必要です。特に、未処理コード実行に対応しようとする場合、特定のサンプルを処理するために膨大な時間とハードウェアリソースが消費され、スループットは比較的低くなります。
  • 業界は、自動サンドボックスに移行する傾向にありますが、多くは、マルウェアの行動に関する生データを提供するだけにとどまっているので、その情報を解釈するカスタムアプリケーションを構築するか、情報を手動で確認するマルウェアアナリストを配置する必要があります。
  • 実行時のオーバーヘッド時間のため、多くのサンドボックスは、オプションとして、または完全に、クラウドをベースにしています。そのため、機密ファイルには適していません。
上記に詳しく説明したように、サンドボックスには短所があります。サンドボックスは、マルウェアの検出率を上げるための方策として、マルチスキャンなど、他の方法と組み合わせて使用することをお勧めします。 
 

まとめ

ヒューリスティックスキャンおよびサンドボックスはどちらも、その独自の長所と短所があります。そのため、これらのスキャン方式の向き不向きは、状況によって異なります。セキュリティを最高レベルに高める方法は、これら両方の方式を同時に利用し、検出回避の可能性があるサンプルの数を最小限に減らすことです。マルチスキャン (複数のマルウェア対策エンジンを使用するスキャン) では、多くのスキャンエンジンのさまざまなヒューリスティックアルゴリズムを活用することができます。
多くのスキャンエンジンを使用した多層的アプローチによるメリットの証拠として、当社のクラウドベースのマルチスキャンソリューションMetascan® Onlineについて調べてみました。これは、ヒューリスティック方式とシグネチャ方式の両方を使用して脅威を検出するマルウェア対策エンジンをベースとしたソリューションです。
 
ARBOR Metascan Onlineの統計ページ上で最も検索された脅威
 

上記の統計ページの結果を見ると、検出された脅威の割合は、マルウェア対策エンジンを追加するほど増えていることが分かります。4つのマルウェア対策エンジンを含むMetascan 4は、上位10,000の脅威の85.59 %を検出し、Metascan 16に14のカスタムエンジンを加えた場合では、同じ脅威を98.83%検出しています。この統計ページから、マルチスキャンの価値が明らかになっています。すべてのエンジンにはそれぞれ異なる長所と短所があるので、使用するエンジンが多いほど、脅威を検出する可能性が高くなります。
さまざまなスキャン方式を詳しく知りたい方は、マルチスキャンとオンラインサンドボックスの比較を紹介している当社のブログ記事をご覧ください

 
ARBOR Curtis Cade

連邦セールスマネージャ
Curtis Cade氏は、現在、ワシントンD.C.外のOPSWATの連邦アカウントおよび関連テクノロジパートナーシップを管理しています。Cade氏は、MetascanおよびMetadefenderのセールスおよびエンジニアリングチームと密接に協力して、顧客が適切な評価および導入を確保できるようにサポートしています。これには、政府機関の情報セキュリティニーズに応えてきたセールスエンジニアリングおよびプロフェッショナルサービスとしての5年間の経験が活かされています。

 

原文はこちらです。

PAGE TOP