ヒューリスティック方式からプロアクティブ方式へ

振る舞い検知型のヒューリスティック方式のセキュリティソフトを回避するマルウェアが増加し、法人ではEDR/XDRを追加採用することで多層防御を行っています。しかし、それでも感染はでてしまい社会インフラや政府機関が影響を受けています。

このため端末内で分析をすることが限界となったため、端末で未知の検体を検出した際に、起動を保留してクラウド・サンドボックスに転送し、AIとクラウドの能力をフル活用した「AIレピュテーション方式」が2015年頃から流行しました。「デフォルト拒否ルール」や「プロアクティブ方式」と呼ばれています。

プロアクティブ方式は、AIレピュテーションからアプリケーション・ホワイトリストへ

しかし、AIレピュテーション方式も過去の知見(ビッグデータ)を基本としており、過去の知見によらない全く新しいサイバー攻撃を完全に防ぐことができず、各国政府機関や社会インフラへのサイバー攻撃に悩まされました。

このため2020年頃に、米国政府が NIST SP 800番台にて、「ゼロトラスト設計(Zero Trust Architecture)」を掲げ、感染ゼロを目指すことになりました。その中で目玉であるのが、政府主導にてアメリカ国立標準技術研究所(NIST)で規定された「アプリケーション・ホワイトリスト方式」です。現在一部の製品で採用されていますが、規定されたことで今後個人向けにも製品は増加してくると予測されています。

アプリケーション・ホワイトリスト方式の登場

アプリケーション・ホワイトリスト方式のセキュリティソフトは、世界中の信頼のおけるアプリケーションをリスト化し、リスト化されたもののみを起動を許可する方法で、NIST SP 800-167として規定されました。

起動時にリストに合致しないものは起動しないで停止するため、従来のブラックリスト型では検知できなかった未知のウイルスやスパイウェアを検知する事ができます。また、ヒューリスティックスキャンで検知できなかった時限型や標的型も実行を阻止ことができます。

アプリケーション・ホワイトリスト方式は、クラウド上の監査済の情報を取得してくるだけであるため、パソコン内での監査が不要となり、結果としてパソコンの動作が軽くなり、快適に使用できるようになります。

ヒューリスティックスキャンはパソコンを遅くする

特に未知のウイルスを検知する目的で使われるヒューリスティックスキャンは、仮想的なOSを作り、該当アプリケーションを仮想的に起動して、そのプログラムの挙動を確認し、ウイルスであるか、正常なアプリケーションであるかを判別するエンジンとなります。
実際に起動させることから、未知のウイルスを検知させることを主な目的として活用されています。この機能は、主要な市販セキュリティ対策ソフトが実装している機能です。

しかし、このヒューリスティックスキャンは、仮想的にOSを作成し、その上で実際にアプリケーションを起動しその挙動を確認します。問題がないと判断した場合には、Windows上でアプリケーションの起動を許可します。このため、利用者がアプリケーションを起動しようとすると、そのアプリケーションを2度起動することとなり、パソコンの動作が遅いと感じる大きな原因の一つになっています。