さらに賢くなったシステムウォッチャー

セキュリティ製品には、2つの重要な役割が求められます。予防すること、そして、必要ならば修復することです。Kaspersky Labは先日、これらの機能をさらに効率的に実現するテクノロジーで特許を取得しました。

最も一般的な予防の手法は、コンピューターで何が起きているかを追跡し、有害なオブジェクトを無力化することです。セキュリティ製品は、トロイの木馬、フィッシングメール、スパムメール、悪意あるWebサイトを見つけ出し、ベストの方法で対処します。

予防がうまくいかなかった場合は、感染したコンピューターに何らかの対処をする必要があります。単に悪質なファイルを削除するだけではありません。感染したコンピューターをきれいにするには、悪意あるコードを削除し、さらには、正常な機能を復元する必要があります。つまり、病気の原因を取り除くだけでは不十分で、健康を取り戻さなければならないのですが、そこまで行くのは極めて込み入った道のりです。

独立系セキュリティベンチマークテストで、予防に関しては多くのアンチウイルスベンダーが比較的良い成績を収めるのに対し、感染したシステムからのウイルス駆除となると優秀な成績を収める製品がかなり限られてしまうのは、まさにこうした理由からです。

より優れた検知…

ウイルスシグネチャのリストをはじめとする従来の検知手法は、セキュリティ製品において重要な役割を担っています。しかし、ヒューリスティックな手法もまた、重要な役割を果たしています。ヒューリスティックとは、経験から学習し、それを生かして成長することを指します。この手法があるからこそ、アンチウイルス製品は、有害なオブジェクトだけでなく不審な行動も監視することが可能となっています。

不審な行動の検知は、Kaspersky Labのミハイル・パブリューシク（Mikhail Pavlyuschik）、アレクセイ・モナスティルスキー（Alexey Monastyrsky）、デニス・ナザーロフ（Denis Nazarov）が開発した技術の中核をなしており、先日、特許を取得しました。これは、プログラムと、他のOSコンポーネントやソフトウェアとのインタラクションをマップするテクノロジーです。この場合のインタラクションとは、あるプログラムが、別のプロセスで使われているメモリに干渉することを意味します。

カスペルスキーの個人ユーザー向け製品が、第三者機関AV-TESTより高評価をいただきました。パフォーマンス面、操作性で第1位。また感染したシステムのクリーンアップツールも第1位に。 https://t.co/m8sZEUcChl pic.twitter.com/x8lmE7z78c

— カスペルスキー 公式 (@kaspersky_japan) March 4, 2016

メリットは、すべての活動を追跡する必要がない点です。片っ端から監視していたら、コンピューターのリソースが使い尽されてしまいますから。インタラクションを追跡するテクノロジーは、高精度のふるまいモニターであり、まだ存在を知られていない悪意あるプログラムの大半をブロックできます。

…そして予防

あるコンピューターが、キー入力を収集するマルウェア（キーロガー）に攻撃されているという状況を考えてみましょう。

キーロガーがコンピューターに感染したということは、保護をかいくぐったか、セキュリティ構成の欠点を突いて侵入したことを意味します。どちらもよくあるシナリオです。いずれにしても、攻撃の背後にいる犯罪者にデータ（メールのパスワード、オンラインバンキングのログイン情報、Webカメラのキャプチャ映像など）が送られる前に、キーロガーの活動を阻止しなければなりません。

ここで、ふるまい分析の登場です。このテクノロジーは、当社のシステムウォッチャーモジュールに組み込まれています。システムウォッチャーは、その他セキュリティコンポーネントと連動し、信頼されていないソフトウェアによる悪意あるインタラクションを、取り返しのつかない状態になる前に検知します。また、システムウォッチャーはマルウェアのふるまいを追跡しているため、マルウェアによって改竄された内容を元に戻すこともできます。

ファイルを暗号化してしまい、復号する代わりに金銭を要求する #ランサムウェア の被害が増えています。 #カスペルスキー の製品を使った対処法をご紹介します。https://t.co/qWvEhqrRS5 pic.twitter.com/TeINCpci5P

— カスペルスキー 公式 (@kaspersky_japan) June 2, 2015

カスペルスキー インターネット セキュリティ（カスペルスキー セキュリティのWindows対応プログラム）のような強力なセキュリティ製品の場合、ロールバックが必要となるほどシステムの奥深くまでマルウェアを侵入させることはめったにありません。また、カスペルスキー製品の定義データベースには、新しい脅威がすみやかに追加されます。Kaspersky Security Networkによって、新しいマルウェアの検体情報をクラウドから得ることができるためです。しかし、セキュリティ製品の開発では、保護をしすぎるということはありません。検知や修復に利用される新技術の開発に取り組み続ける姿勢は、大きな違いをもたらします。総合的セキュリティ製品は、こうした技術を基に成り立っています。