ヒューリスティックは、セキュリティソフトのウイルス検出手法の一形態である。一般的には、ウイルスの検出において「パターンマッチング」を用いない手法全般を指す。
ウイルス検出におけるパターンマッチングとは、ウイルスの特徴を定義した「パターンファイル」をセキュリティソフトに読み込み、パソコン内部のファイルと照合して検出すること。ただしパターンマッチングは、新種のウイルスに対するウィークポイントを抱えている。最近は、1日に平均5万もの新種ウイルスが登場しているともいわれ、パターンファイルを作ることは容易ではない。パターンファイルの配信前にウイルスによる攻撃が始まることもあり、問題となっている。
これに対してヒューリスティックは、パターンファイルを使わずにウイルスを検出する。その検出手法はバラエティーに富んでいる。フォティーンフォティ技術研究所のセキュリティソフト「FFR yarai」を例に、ヒューリスティックだけでウイルスを検出する仕組みを見ていこう(図)。
FFR yaraiは複数の検出手法を備える。その一つが、パソコンの内部に「サンドボックス」と呼ぶ仮想化環境を用意して、そこで不審なプログラムを動作させてみてウイルスかどうかを判定する手法だ。仮想化環境でなら不審なプログラムを動作させても、実環境に被害が及ぶことはない。このほかに、「実環境でOSやアプリケーションの脆弱性をつくコードの動きを監視する」「プログラムの構造を分析する」「実環境のプログラムの挙動を見る」といった検出手法も併用している。なお、これらの手法のうち、実環境におけるプログラムの挙動を見てウイルスを検出するものを「振る舞い検知」あるいは「ビヘイビアブロッキング」ともいう。
このほか最近は、ヒューリスティック検出のロジックをパソコンではなくインターネット上で実施しようという動きが見られるようになってきた。いわゆるクラウド対応である。
例えばロシアのカスペルスキーは、Windows向けセキュリティソフトの最新版「カスペルスキー インターネット セキュリティ2012」をKSN4.0という新バージョンの検出システムに対応させた。同システムでは、ウイルスの振る舞いの特徴を記述したデータをクラウド上に置く。パソコンにインストールしたセキュリティソフトの振る舞い検知機能でウイルスと判断できなかった場合に、クラウドのデータを参照する。
