標的型攻撃などでは、新種のウイルスが使われることが多い。ウイルスゲートウエイなどのネットワーク機器やウイルス対策ソフトのほとんどは、既知のウイルスの特徴(シグネチャ)を収めた定義ファイルを用いたシグネチャ検査を使う。このシグネチャ検査では、新種のウイルスを検知できないことが多い。
そこでベンダー各社は、シグネチャ検査以外の機能を搭載し始めた。「サンドボックス解析」や「AI▼機能」だ。サンドボックス解析は、検査対象のファイルを仮想環境上で実際に動かして、ウイルスかどうかを調べる機能。AI機能は、既知のウイルスとウイルスでないファイルを分析した結果を基にウイルスかどうかを判定する機能だ。これらの機能を使えば、シグネチャ検査で検知できないウイルスを検知することができるだろうか。実験してみた。
誤検知率も調査
実験1では、最近見つかったウイルス97個用意し、サンドボックス解析できるファイアウオールやUTM▼(これらをサンドボックス型機器と呼ぶ)およびサンドボックス解析やAI機能を持つウイルス対策ソフトで検知できるかを調べた。
サンドボックス型機器は、パソコンとサーバーの間に設置し、サーバーからファイルをダウンロードしたときに検知できるかどうかを確かめた。一方、ウイルス対策ソフトの実験では、サーバーからファイルをダウンロードしてパソコンに保存したり、ファイルを開いたりした際に検知できるかどうかを調べた。
さらに今回は、誤検知率を調べるために、ウイルスではないファイル▼194個も検査対象とした。
Artificial Intelligenceの略。人工知能と訳される。
Unified Threat Managementの略。ベースとなるファイアウオール機能のほかに、ウイルスゲートウエイやURLフィルタリングなどの機能を1台に集約した機器。次世代ファイアウオールと呼ぶこともある。
過去の実験で誤検知されたファイルなど、誤検知されそうなファイルを集めた。