振る舞い検知とは？仕組みやメリット・デメリット、EDRとの違いを解説

企業のデジタル化が進む中、サイバー攻撃の手法も日々巧妙化しています。特に従来のウイルス対策ソフトでは検出できない新種のマルウェアが増加しており、セキュリティ対策の見直しが求められています。この記事では、未知のウイルスにも対応できる「振る舞い検知」の仕組みやメリット・デメリット、導入時のポイントについて解説します。

振る舞い検知とは？

振る舞い検知とは、アンチウイルスソフトなどに実装される技術の一つで、プログラムの挙動（振る舞い）から悪意のあるマルウェアを検出する仕組みです。

従来のパターンマッチング方式では、既知のウイルスしか検出できないという課題がありました。しかし振る舞い検知は、プログラムが「不審な動作」をしているかどうかを監視するため、データベースに登録されていない新種のマルウェアにも対応できます。

たとえば、通常のアプリケーションでは行わない「大量のファイルを短時間で暗号化する」「システムファイルを無断で書き換える」といった動作を検知し、脅威と判断します。この特性により、日々生み出される未知のウイルスへの対策として有効性が期待されています。

振る舞い検知が対象とする具体的な不審動作

振る舞い検知は、以下のような不審な動作を監視対象としています。

ファイルシステムの異常な操作

ランサムウェアによる攻撃でよく見られる大量のファイルの一斉暗号化や、システムの重要なファイルが不自然に改変されるケース、そして短時間のうちに大量のファイルが作成されたり削除されたりする動作が含まれます。

プロセスの不審な動作

正規のプロセスを装って実行される不正なプロセスや、通常では見られない形態でのプロセス間通信が検知対象となります。また、PowerShellを使用した不審なスクリプトの実行など、システム管理ツールの不適切な使用も監視されます。

ネットワークの異常

既知の攻撃者が使用するC&Cサーバーとの通信を試みるケースや、通常の業務時間外での大量のデータ転送が発生する場合が該当します。また、社員が普段アクセスしないような社内サーバーへの接続など、内部での異常な横方向移動も検知対象となります。

ユーザーアカウントの不自然な行動

深夜帯に突如としてログインが行われたり、普段は使用しない管理者権限が行使されたりするケースが含まれます。さらに、短時間のうちに複数回にわたって認証に失敗するような状況も監視対象となります。

レジストリの改変

システム起動時に自動的に実行されるプログラムの設定が不正に追加されたり、セキュリティ設定を無効化しようとする試みが行われたりする場合が対象です。また、システムの構成に対して不適切な変更が加えられるような状況も検知されます。

アンチウイルスソフトなどがウイルスを発見する方法

アンチウイルスソフトは、さまざまな方法で脅威をもたらすウイルスを検知し、PCが被害を受けないよう脅威の種類に応じて駆除や隔離、警告などの対処を行っています。ここでは、アンチウイルスソフトがウイルスを発見する方法について、従来のものから最新のものまでをひと通りおさらいしていきます。

パターンマッチング

従来、古くより多くのアンチウイルスソフトで導入が図られている非常にスタンダードな方法です。ウイルスパターンなどの定義情報をデータベース化したものを活用し、それと各プログラムを照合します。その結果、パターンに合致したプログラムをウイルスと識別し判定を行うという方法です。
この方法は従来あるウイルスには有効ですが、そこから派生した新たなウイルスやまったくの新型ウイルスにはパターンに合致しないため有効性が期待できない場合があります。顔認証に例えると、「データベースに登録済みの顔データにそっくりだが、ほくろの位置が少しだけずれている」ことで別人として判別されてしまうような状況が生まれる可能性があるのです。
既存のウイルスには確実な対処ができ誤検知の可能性も低いのですが、未知の脅威への対応は困難です。

ヒューリスティック

ウイルスのような不審なプログラムの動作には、一定の特徴があります。この方法ではウイルス特有の挙動の特徴に合致するプログラムを、脅威であると判定します。脅威が疑われるプログラムを実行させることなく、それらの不審な動作を分析して検知を行えるため、未知の新しいウイルスや既存ウイルスの亜種などにも対応が可能な方法です。

ただし、「ある程度正しく判定できる」という意味を持つ「ヒューリスティック」と名付けられていることからも分かるように、脅威にあたらないプログラムを誤検知する可能性も指摘されてきました。しかし近年では精度が向上したため、誤検知の可能性も少なくなっているといわれています。

振る舞い検知（ビヘイビア）

ヒューリスティックはプログラムを動作させずに検知を行う方法ですが、ビヘイビアではプログラムを実行し、振る舞い（ビヘイビア）から脅威を判断する方法です。この方法が「振る舞い検知」で、「動的ヒューリスティック」とも呼ばれます。
なお、この方法における動作確認は実際の環境下ではなく、「サンドボックス」と呼ばれる仮想環境で実行します。
なお、過去に発見されたウイルスに近い動作を行うプログラムに反応する特性上、有害ではないプログラムを誤検知してしまう可能性も指摘されています。

以下に、ウイルス検知のためのおもな3つの方法とその特徴を表にまとめました。こちらも、ぜひご参考にしてください。

振る舞い検知のメリット

振る舞い検知(Behavioral Detection)を備えたセキュリティ製品には、以下のような重要なメリットがあります

未知の脅威への対応

従来のシグネチャベースの検知では見つけられない新種のマルウェアや攻撃手法を検出できます。プログラムやユーザーの通常の動作パターンから逸脱する不審な振る舞いを見つけることで、ゼロデイ攻撃などにも対応可能です。

リアルタイムな防御

システムやネットワーク上の異常な動作をリアルタイムで監視・検知し、被害が広がる前に早期対応することができます。例えば、急激なファイルの暗号化やレジストリの改ざんといった不審な動作を即座にブロックできます。

誤検知の低減

単純なパターンマッチングではなく、コンテキストを考慮した分析を行うため、正常な業務活動を誤って脅威と判定するリスクを軽減できます。機械学習を活用することで、検知精度は継続的に向上していきます。

内部不正の検出

従業員による意図的な不正行為や、侵害されたアカウントによる不審な操作なども、通常の利用パターンとの比較により検知することができます。

ただし、十分な効果を得るためには以下のような注意が必要です。

• 誤検知による業務への影響を最小限に抑えるためのチューニング
• セキュリティチームによる検知アラートの適切な監視と対応

振る舞い検知のデメリットと注意点

振る舞い検知には多くのメリットがある一方で、導入時に考慮すべき点もあります。

誤検知の可能性

正常なプログラムが特殊な動作をした場合、マルウェアと誤判定される可能性があります。たとえば、バックアップソフトが大量のファイルにアクセスする際や、システム管理ツールがレジストリを変更する際などです。このため、導入後は検知ルールの調整が必要になります。

システムリソースの消費

リアルタイムでプログラムの動作を監視するため、CPUやメモリへの負荷が高まる場合があります。特に古い端末や処理能力の低いデバイスでは、動作速度に影響が出る可能性があります。

専門知識が必要

検知されたアラートが本当の脅威なのか、誤検知なのかを判断するには、一定のセキュリティ知識が求められます。社内に専門人材がいない場合は、外部のセキュリティサービスの活用も検討が必要です。

振る舞い検知はEDRと組み合わせることでより効果的に対策が取れる

ここまでは、振る舞い検知というウイルス検知方法の概要をご説明しましたが、同じく近年注目されているウイルス検知方法に「EDR」があります。

EDRとは

EDRとは「Endpoint Detection and Response」の略称です。PCやサーバーの「エンドポイント」でプログラムの動作などを監視し、その動きによってウイルスの感染を検知し、情報収集・調査や感染PCの遠隔隔離などの対処を行うことで、リスクを最小限に抑えるものです。なおエンドポイントとは、通信ネットワークの終着点にあたる各種端末です。具体的には、エンドユーザーが操作するPCやスマートフォン、タブレットなどの機器を指します。

近年EDRが注目され、導入が推奨される背景として、サイバー攻撃が年々巧妙化し、既存のセキュリティ対策だけで被害拡大を抑えることが困難になっている点があります。
EDRはウイルスなどの検知にとどまらず、万一感染し被害を受けた際もすばやく対応して受ける被害を少なく抑える目的があります。サイバー攻撃を受けてしまった場合の被害の極小化とサイバー攻撃による被害の事後対策コストを低減する対策として、EDRが普及しています。

ウイルス対策には総合的な視点が必要

ウイルスなどは日々進化し、新しい脅威が生み出されています。しかし既存のマルウェア検知方法には各々デメリットがあり、完璧に被害を防げるものは存在しません。このため、さまざまな対処法を組み合わせることで多層防御を実行し、総合的な対策をとることが重要です。

ただし中小企業の場合、社内外ネットワークの構成を正確に把握できていないことも少なくありません。企業によっては唐突に大がかりな仕組みを設けるより、「振る舞い検知＋EDR」を組み合わせた対策を各PCに行うことから始める方が効率的な場合もあります。振る舞い検知によるウイルスの入り口対策、侵入後ウイルスが万一侵入し検出された後の対応をEDRにて行うことでより確実に脅威への対処を行えます。
自社の状況に合わせて、ネットワークの規模や保有端末の台数などを考慮し、段階的にセキュリティ性を高めていくことも一案でしょう。

ALSOKのセキュリティでウイルスの脅威から守る

セキュリティ対策を行う上で重要なポイントは、「運用」です。セキュリティソフトや機器を導入したものの、運用を行う人員がおらず、リスクや脅威を検知しても対処ができなければ意味がありません。そこでALSOKでは、インシデント対応を自動化するEDRを提供しています。

「ALSOK EDRサービス」は、AIによって脅威を検知し、復旧までを自動で行うことができます。
また、ALSOKによる24時間365日のサポートを受けることができます。

振る舞い検知に関するよくある質問

Q1. 振る舞い検知とヒューリスティック検知の違いは何ですか？

ヒューリスティック検知は、プログラムのコードを静的に分析してウイルスの特徴を見つけます。一方、振る舞い検知（動的ヒューリスティック）は、プログラムを実際に実行して動作を監視します。振る舞い検知の方が、より実際の脅威に近い状態で判定できるという特徴があります。

Q2. パターンマッチングと振る舞い検知、どちらが優れていますか？

どちらにも長所と短所があり、一概にどちらが優れているとは言えません。パターンマッチングは既知のウイルスを確実に検出でき誤検知も少ないですが、未知のウイルスには対応できません。振る舞い検知は未知の脅威にも対応できますが、誤検知のリスクがあります。現在のセキュリティ製品は、両方の技術を組み合わせて使用するのが一般的です。

Q3. 振る舞い検知だけで十分なセキュリティ対策になりますか？

振る舞い検知は有効な対策ですが、これだけで完全に安全とは言えません。巧妙な攻撃は正常な動作に見せかけて侵入することもあります。振る舞い検知に加えて、EDR（侵入後の対応）、ファイアウォール、従業員教育など、多層的なセキュリティ対策を組み合わせることが重要です。

Q4. 中小企業でも振る舞い検知は必要ですか？

中小企業こそ、振る舞い検知の導入を検討すべきです。サイバー攻撃は大企業だけでなく、セキュリティ対策が手薄な中小企業も標的にします。振る舞い検知とEDRを組み合わせた製品であれば、専門人材が少ない企業でも効果的な対策が可能です。

まとめ