標的型攻撃などでは、新種のウイルスが使われることが多い。ウイルスゲートウエイなどのネットワーク機器やウイルス対策ソフトのほとんどは、既知のウイルスの特徴(シグネチャ)を収めた定義ファイルを用いたシグネチャ検査を使う。このシグネチャ検査では、新種のウイルスを検知できないことが多い。

 そこでベンダー各社は、シグネチャ検査以外の機能を搭載し始めた。「サンドボックス解析」や「AI機能」だ。サンドボックス解析は、検査対象のファイルを仮想環境上で実際に動かして、ウイルスかどうかを調べる機能。AI機能は、既知のウイルスとウイルスでないファイルを分析した結果を基にウイルスかどうかを判定する機能だ。これらの機能を使えば、シグネチャ検査で検知できないウイルスを検知することができるだろうか。実験してみた。

誤検知率も調査

 実験1では、最近見つかったウイルス97個用意し、サンドボックス解析できるファイアウオールやUTM(これらをサンドボックス型機器と呼ぶ)およびサンドボックス解析やAI機能を持つウイルス対策ソフトで検知できるかを調べた。

実験1の概要
実験1の概要
最近見つかった新種のウイルスを97個用意して、サーバーに配置。すべてのファイルをダウンロードして、サンドボックス型機器やAI機能などを持つウイルス対策ソフトで検知できるかを調べた。またウイルスではないファイルを194個サーバーに配置して、これらを誤検知しないかも確認した。
[画像のクリックで拡大表示]

 サンドボックス型機器は、パソコンとサーバーの間に設置し、サーバーからファイルをダウンロードしたときに検知できるかどうかを確かめた。一方、ウイルス対策ソフトの実験では、サーバーからファイルをダウンロードしてパソコンに保存したり、ファイルを開いたりした際に検知できるかどうかを調べた。

 さらに今回は、誤検知率を調べるために、ウイルスではないファイル194個も検査対象とした。

▼AI
Artificial Intelligenceの略。人工知能と訳される。
▼UTM
Unified Threat Managementの略。ベースとなるファイアウオール機能のほかに、ウイルスゲートウエイやURLフィルタリングなどの機能を1台に集約した機器。次世代ファイアウオールと呼ぶこともある。
▼ウイルスではないファイル
過去の実験で誤検知されたファイルなど、誤検知されそうなファイルを集めた。