［UTMの機能④］進化し急増するマルウェア攻撃を「アンチウィルス」で防御

ウィルスとは？マルウェアとどう違うの…？

「ウィルス」は最も多く見られるサイバー攻撃の1つです。多くのパソコンにはウィルス対策ソフト（アンチウィルス）がインストールされ、社内のセキュリティ教育でも「見知らぬ人から届いたメールの添付ファイルを開けてはいけない」と言われていることでしょう。
ウィルスは「マルウェア」とも呼ばれることもありますし、「ワーム」と呼ばれることもあります。本コラムでは便宜上「ウィルス」に統一していますが、まずこれら関連する用語を整理しておきます。

ウィルス

単体では存在できず、既存のプログラムに寄生して増殖し、悪さをします。病気の感染に似ているため、ウィルスという名称になりました。

マルウェア

「malicious software」の略語で、ウィルスを含む悪意のあるソフトウェアの総称です。「malicious」は「悪意のある」という意味で、2000年代になって使われるようになった新しい言葉です。

ワーム

ウィルスとは異なり、単体でも存在でき、自己増殖して悪さをするソフトウェアです。ワーム（worm）は虫を意味します。

トロイの木馬

無害あるいは有益なソフトウェアに偽装して、コンピュータ内部へ侵入し、外部からの命令で悪さを開始します。原則として自己増殖機能はありません。

ボットウィルス

ボットはロボットの略。感染した大量のパソコンをロボット（踏み台）にして、DoS攻撃などの大がかりな攻撃を行います。

ランサムウェア

感染したパソコンのデータを読み取れない状態にして、その復元を条件として、金銭を要求します。ランサム（ransom）とは身代金の意味です。

インターネット時代になって一気に被害が拡大

1980年代のころからウィルスは存在し、フロッピーディスクなどを介して感染していました。このころは画面に花火が上がるなどのかわいらしいものが多い状況でした。
このウィルスの被害が拡大したのは、1990年代後半、インターネットとパソコンが急激に普及してからです。電子メールを介して、またたく間に被害が拡大するようになりました。

この時代の代表的なウィルスに「メリッサ」があります。Outlookの添付ファイルに、WordやExcelのマクロプログラムが含まれており、解凍するとアドレス帳のメールアドレスに同じ内容のメールを勝手に送信します。これ以降、Officeアプリケーションのマクロ機能は、初期設定では無効となりました。
2000年には「I LOVE YOU」ウィルス、2001年には「CodeRed(コードレッド)」と「Nimda(ニムダ)」が猛威を振るい、世界を震撼させました。
2000年代からウィルスは、愉快犯ではなく、高度な技術力を備えた犯罪者による金銭目的に変わっていきます。ランサムウェアがその典型です。

参考：2021年版　サイバーセキュリティ事件簿

ウィルスを検出する方法とは

それでは、アンチウィルスはどのようにウィルスを検知するのでしょうか。主に次の3つがあります。

パターンマッチング

ウィルスなどに含まれる特徴的なデータ断片などのパターン（シグネチャ）から検知します。パターンが違った場合に検知できない欠点があります。

ヒューリスティック

ウィルスの独特な動きを登録し、その動きを見つけて検知します。パターンマッチングでは見つけられない未知のウィルスを検知できます。

ビヘイビア（振る舞い検知）

怪しいソフトウェアを実際に動かしてみて、その振る舞いから検知します。新種のウィルスを発見できますが、誤検知も多くなります。

ウィルス対策はエンドポイント？それともネットワーク側？

早くからウィルス対策はパソコンやサーバー（エンドポイント）にインストールする「ウィルス対策ソフト（アンチウィルス）」の採用が必須とされていました。
しかし、これだけではユーザー個人に依存する部分が多く、インストールしてもバージョンアップしなかったり、設定を勝手に変更されるたりすることもあります。
また、ウィルスによる被害が大きくなるにつれ、企業にはエンドポイントだけに頼らないセキュリティ対策が求められるようになりました。そこで登場したが企業ネットワークの内と外の境界（ゲートウェイ）に設置するアンチウィルス機能です。ゲートウェイにはUTMが設置されることが多いことから、今ではアンチウィルスはUTMに必須の機能となっています。
エンドポイントの対策では企業ネットワーク内にウィルスが侵入してからの検知になりますが、ネットワーク側に設置することで忍び込もうとするウィルスをキャッチし隔離します。