◆現在のマルウェア情勢

早速ですが、図-1は過去10年間の発見されたマルウェアの総数となります。

2009年では「約2950万」であったものが、現在では「約8億3800万」にまで増加しており、2009年と比較すると約28倍となります。

次に、図-2は月ごとの新たに発見されるマルウェアの数となり、2017年10月以降は、ほぼ毎月1000万以上のマルウェアが発見されており(1日平均30万以上)、現在は日々マルウェアが大量に発見されていることを意識しておく必要があります。

※参考:AVTEST_Statistics https://www.av-test.org/en/statistics/malware/

 

◆パターンマッチング方式の限界

エンドポイントセキュリティで必須となるアンチウィルスについて、従来型アンチウィルスの検知方法は、パターンファイル(リストのような情報)を作成し、対象ファイルの情報をパターンファイルと突き合わせて、リストに合致するものをマルウェアとして判定するパターンマッチング方式となります。

しかし、この方式の弱点として、マルウェアと判定するための情報を事前に組み込んでおく必要があり、組み込まれていない場合はパターンマッチング方式では検知できないという結果になります。すなわち、ゼロデイ攻撃や未知のマルウェアが弱点となります。

そのため、頻繁にパターンファイルの更新が行われているわけですが、日々大量のマルウェアが発生しているため、更新が追い付かず、従来型アンチウィルスをすり抜けて、感染してしまうリスクは残り続けます。

また、図-3の通り、マルウェアのデータを24個用意し、どれだけ検知できるかをテストします。

24個のデータを従来型アンチウィルスが導入されている端末に書き込んだ際、図-3の通り、「12個」がマルウェアとして検知され、データが残り「12個」になっています。

次に24個の同じデータを「難読化」した後に書き込んだ場合には、図-4の通り、「8個」しか検知されずに「16個」のデータが残っており、いくつかはすり抜けていることが確認できます。全てではありませんが、このように既存のマルウェアでも簡単にすり抜けることができる術があることも留意する必要があります。

図-3

図-4

◆次世代アンチウィルス

昨今では、「振る舞い」、「AI」、「機械学習」、「ディープラーニング」などを利用したアンチウィルスもあり、これらは「次世代アンチウィルス(NGAV)」と呼ばれています。中にはパターンファイルも併用するタイプもありますが、もちろんパターンファイルを一切使用しないものもあります。

パターンファイルを使用しないものは、既知/未知に依存せず不審なファイルを検知することが可能になります。

[現在のマルウェア情勢]で述べた通り、現在は日々大量のマルウェアが発生しているため、マルウェアの侵入を限りなく「0」に近づけるためには、パターンファイルを利用しない次世代アンチウィルスの導入もご検討下さい。