世界に認められた 新発明レベルのアーキテクチャの秘密を暴く!(2/3)


「私は私が何も知らないことを知っている」

前回、「一度きり」の検知チャンスを何とかモノにする事が今までのアンチマルウェアの目標であったという事をお話ししました。この考え方を変えるためには?という所を今回はお話ししたいと思います。

「一度きり」を変えると、何かいいことがあるのでしょうか?
それは、「その時点」で問題を見つけられなくても後で見つけることができるという事が最も大きいメリットでしょう。

「後で見つけることができたって、マルウェアを見逃しているのだったら意味が無いじゃないか?」なるほど 、確かに単に後から見つけることができるだけであれば、それは単純に検知ができただけであって、問題を解決することにはなりません。

しかし、後から検知できて、かつそのマルウェアが今までシステムに対して実行・実施した処理を元通りにすることができるのであればどうでしょうか?

マルウェアが検知され、そのマルウェアが行っていたことを全て元に戻す。これであれば論理的には感染前の状態に戻ることになりますので、対策としては十分有効になります。この機能を実現するためには、ファイルがどのような動作を行うのかという事を全て記録しておく必要があります。

しかし、よく考えてみるとPCの中に存在しているファイルは相当な数があります。ちなみに、私のPCにインストールされているファイルは少なくとも39万個以上ありました。これらPCの中にあるファイルの動作をのべつ幕なしに全て記録しておく・・・それは相当なパフォーマンスや能力を使いそうです。あまり現実的ではないでしょう。

では、記録しておくファイルの数を減らすためにはどうしたらよいのか?その答えが「知らない事を知っている」です。

前述の通り、一般的なマルウェア対策ソフトウェアは判別を行うために、マルウェアを定義したデータベースを元にして、パターンマッチングを行い「悪質な」ファイルを見つけ出します。これは俗にいう「ブラックリスト」方式で既知の問題ファイルを見つけ出す方法になります。もう一つ、問題のないファイルを登録しておいて、実行を許可するリストを「ホワイトリスト」といいます。
これら2つのリストで、どれだけ知っているか?を競う事が今までの対策ソフトウェアの現実です。しかし、本当に重要なのは「知っている」ものでは無く「知らないもの」にあるのです。

なぜならば、未知のマルウェアは必ず「知らない」ものから現れるのですから!

これらのファイルは「グレー」、つまり白なのか黒なのか判別が付かないものとして、いったい何を行うのかという事を記録し調べます。白や黒は「知っている」ものですので、どのような動作を行うのかという記録を行う必要はありません。もちろん、「白」や「黒」をどれだけ知っているかによって、「グレー」の数を減らすことができるわけですので「知っている」ことも重要です。

このようにして、知っているファイル以外の処理をちゃんと行う事によって、よりセキュリティを強化できるようになるのです。古代ギリシャの賢者として著名な哲学者ソクラテスも「私は私が何も知らないことを知っている」と言っていますが、知らないことを知ることが次世代のセキュリティの肝となるのです。

=====================
アンチマルウェアソフトウェアでは今まで「検知率」というキーワードが特別な意味を持っていました。この「検知率」はある特定時点のマルウェアをどれだけ検知できるのか?という事を表しています。
すなわち、「検知率」が低ければそれだけマルウェアを逃してしまう確率が高く、PCやファイルが「感染」する恐れがある、という所から対策ソフトウェア選択の目安として非常に便利な「秤」だったのです。

ただ、この秤は「ワンチャンス」の検知に対する「秤」である為「やり直しできる」検知であるのであればあまり意味が無くなります。
なぜならば、たとえ1回目に検知できなくとも後からそれをなかったことにできる為、検知率そのものが意味をなさなくなります。

これからは「検知率」を評価基準にするよりも、どれだけ早く「再」検知できるのか?という事が重要になってくるのではないかと考えられます。
=====================

「グレー」なファイルは最初の白黒分類でフィルタされ数を減らしていますのでそれぞれのファイルを追跡し、その動作(レジストリの追加・削除やファイルの作成などシステムに加えるすべての動作)を全て記録しています。
そして、そのファイルの動作(行動とかビヘイビアと言います)が不正な行為であった場合にはすぐさま「黒」すなわち問題のあるファイルであると判断し、ブロックします。
「グレー」であったものが「黒」と再分類された時点で、そのファイルの行った動作を全て元に戻すことによって感染前の状態に復元することが可能になります。
これによって、万事解決!・・・とはなりません。ここでもう一つのキーワード「漏れや横取りを許さない」ことによって、ようやく新世紀のマルウェア対策となるのです。

さて、少し長くなってしまいました。今回のお話はここまでとして、次回はもう一つのキーワードの解説を中心に、これらのキーワードを実装した新世紀のアンチマルウェアについてお話ししたいと思います。それでは、また!


wordpress blog stats