ヒューリスティック検知とは
ヒューリスティック検知とは、パターンマッチング(シグネチャ照合)に頼らず、コードの特徴や挙動から悪意の有無を推定して検出する方式を指します。検索されることが多い表記として「ヒューリスティックウイルス」という言い方もありますが、ウイルスの種類ではなく検知手法の名称です。
一般的なウイルス対策では、既存の脅威をシグネチャとして登録し、それに一致するものを検出・隔離(パターンマッチング)します。
一方のヒューリスティック検知は、あらかじめ定義されたシグネチャを必要とせず、設定されたアルゴリズムに基づいて「悪意の可能性」をその都度判断します。これにより未知の脅威(ゼロデイ)にも対応できる点が強みです。
従来のパターンマッチングよりも精度が高い
パターンマッチングは既知の脅威には強いものの、登録前の新種には弱いという課題があります。新種は発見され次第シグネチャに追加されますが、増加ペースに追従しづらい場面もあります。
対してヒューリスティック検知は既知・未知を問わずアルゴリズムで危険度を判断できます。そのため、新種や亜種の検出に有利です。
パターンマッチングとヒューリスティック検知の違いを理解したら、実際に対応製品を比較することが重要です。詳しくは、ウイルス対策ソフトの特徴や価格をまとめた以下の記事をご覧ください。
誤検知を行う可能性がある
ヒューリスティックは推定に基づくため、状況によっては誤検知が起こり得ます。実務ではパターンマッチングと併用し、既知は正確に、未知は推測で広くカバーするのが一般的です。
そもそもヒューリスティックとは、「ある程度正しい答えを導ける」という意味です。シグネチャで定義されているか否かによって明確にウイルスを検出できるパターンマッチングと比べ、精度が劣ります。
近年はジェネリック検出などの高度化により誤検知は減少傾向です。既知の脅威に共通する特徴量から類推し、該当するマルウェアをまとめて検出します。
未知の脅威にも対応できるウイルス対策ソフトを知りたい方は、以下のボタンより一括資料請求が便利です。各製品のヒューリスティック検知対応状況や誤検知対策機能をまとめて比較できます。
ヒューリスティック検知の2つの方法
ヒューリスティック検知は「静的ヒューリスティック検知」と「動的ヒューリスティック検知」に大別されます。それぞれの特徴を見ていきましょう。
静的ヒューリスティック検知
静的ヒューリスティック検知とは、スキャン対象のコード(プログラム)を実行する前に分析し、ウイルスかどうかを判断する方法です。スタティックヒューリスティックとも呼ばれ、実行前の段階で危険と判断されたものは排除できます。
ただし、この時点ではウイルスと断定できないケースもあります。見過ごすわけにはいきませんが、誤ってウイルスだと判定してしまうリスクも残ります。そのため、この段階で判断がつかない対象については、動的ヒューリスティックで最終的に確認するのが一般的です。
動的ヒューリスティック検知
動的ヒューリスティックとは、実際に対象のコードを実行させてウイルスかどうか見極める方法です。一般的に「振る舞い検知」とも呼ばれます。
コードを実行させるとはいえ、通常のパソコン環境でそれを行うのはハイリスクです。そのため、通常の動的ヒューリスティックでは、サンドボックスと呼ばれる仮想的な環境でコードを実行します。そして、サンドボックス内で対象のコードがファイル削除などの攻撃的な振る舞いをすれば、ウイルスと判断します。暗号化などのステルス技術を用いたウイルスを検出できるのも特徴です。
一般的に、動的ヒューリスティックは静的ヒューリスティックを補佐する検知方法という位置づけです。動的ヒューリスティックは負荷が大きく、すべての脅威に対して実行するわけにはいきません。そのため、通常は低負荷の静的ヒューリスティックで検知し、漏れたものだけ動的ヒューリスティックで対処します。
動的ヒューリスティックや、振る舞い検知に対応した製品を探すなら、以下のボタンよりウイルス対策ソフトの一括資料請求をご活用ください。運用負荷やコストを含めた比較資料をまとめて入手できます。
混同しやすい「ヒューリスティック検知」と「振る舞い検知」の違い
両者は似た言葉として使われやすく、混同されがちです。特に「動的ヒューリスティック検知=振る舞い検知」という関係性を理解していないと、別物の技術だと誤解してしまうことがあります。
ヒューリスティック検知は、シグネチャを使わずに特徴や挙動からウイルスの可能性を推測する方式の総称です。そのなかで、実際にコードを実行して挙動を確認する手法が動的ヒューリスティック検知であり、振る舞い検知と呼ばれています。
つまり、振る舞い検知はヒューリスティック検知の一種であり、独立した別の方式ではありません。企業で導入を検討する際は、「振る舞い検知対応=動的ヒューリスティック対応」と理解しておくと混乱せずに比較検討できます。
ヒューリスティック検知について詳しく理解しよう
ヒューリスティック検知とは、パターンマッチングに頼らず、コードの特徴や挙動からマルウェアを推測する方式です。未知の脅威(ゼロデイ)にも対応できる点が強みです。
検知手法は、実行前にコードを評価する静的ヒューリスティックと、仮想環境で実行して挙動を確認する動的ヒューリスティック(振る舞い検知)に大別され、ふつうは両者を組み合わせて精度と負荷のバランスを取ります。自社での導入・運用では、誤検知率や運用体制を踏まえ、方針に合った製品・プランを選びましょう。
以下のボタンから、ウイルス対策ソフトの資料を一括請求できます。ヒューリスティック検知や振る舞い検知への対応状況、費用・運用負荷、導入事例をまとめて確認可能です。誤検知の対処や乗り換えを検討中の方は、ぜひご活用ください。
