ビヘイビア法とは「振る舞い検知」によるセキュリティ対策のことです。

既存のアンチウイルスソフトは「既知のマルウェア」を見つける仕組みでしたが、現在では新しい脅威が次々と登場し、種類と量が飛躍的に増えているのが問題視されています。

「未知のマルウェア」による被害が増えていることで「振る舞い検知」という仕組みが生まれました。

実行中のソフトウェアの振る舞い(behavior)を監視し、怪しい動作を検出できます。

本記事ではビヘイビア法(振る舞い検知)について、仕組みやメリット・デメリット、検知手法についてまで解説します。

目次

• ビヘイビア法（振る舞い検知）とは？
  • ビヘイビア法
  • 振る舞い検知とは
  • 静的ヒューリスティック法（狭義のヒューリスティック法）
  • 従来の検知方法との違い
• ビヘイビア法の特徴
  • マルウェアの検出方法の一つで、振る舞い監視法
  • 新種のマルウェアに対応
  • 検査対象のソフトウェアを実際に動作させ判断する
  • 仮想環境が必要
• ウイルスを検知する方法：従来〜最新
  • パターンマッチング
  • ヒューリスティック
  • 振る舞い検知（ビヘイビア法）
• 振る舞い検知（ビヘイビア法）のメリット
  • 未知のマルウェアに対応できる
  • データベースを使わない
• 振る舞い検知（ビヘイビア法）のデメリット
  • 正常なプログラムをマルウェアと誤判断する場合もある
  • 処理の負荷が大きい
  • 潜伏期間の長いマルウェアは見逃す可能性がある
• ビヘイビア法を採用したウイルス対策ソフト
  • ESET PROTECT Advanced
  • FortiSandbox
  • Trellix Endpoint Security
• ビヘイビア法のまとめ

監修者 rushx1202

WEBライター歴12年です。IT系の記事執筆経験は豊富にあります。

ビヘイビア法（振る舞い検知）とは？

ビヘイビア法（振る舞い検知）とは、アンチウイルスソフトなどに搭載された新しい検知方式です。

既知の脅威だけではなく未知の脅威も検知できて、疑わしい挙動をしているファイルを検出できます。

実際にソフトウェアを動作させて挙動から脅威かどうかを調べる手法や怪しいソフトウェアのコード解析から危険性がないか調べる手法などが代表的です。

異なる検出法を併用することで、幅広い脅威の検知ができるでしょう。

具体的にどういった検出法があるのか、詳しい点を以下でみていきます。

ビヘイビア法

ビヘイビア法(動的ヒューリスティック法)ではソフトウェアを実行し疑いのある動作を検出します。

動作に着目しているため、未知の脅威にも対応できるのが特徴です。

検査対象となるソフトウェアを実際に動作させ、「書き込み」や「複製」、「破壊」などが見られないか判定します。

また、「通信量・エラー料」や「例外ポート通信」などが通常時と比較して増加していないかも監視します。

さまざまな観点からチェックする方法であり、幅広い脅威に対して効果的ですが、正常なソフトウェアを誤検知するリスクが常にあるため注意が必要です。

振る舞い検知とは

振る舞い検知はアンチウイルスソフトなどに搭載されている比較的新しい検知方式です。

悪意のあるソフトウェアに多い動作を検出する方式で、未知の脅威も検出できます。

観測されたイベントと、監視対象となるデバイスやソフトウェアの正常とみなされる活動とを比較するのが特徴です。

もし、観測されたイベントが正常な活動との重大な逸脱が見られる場合は異常とみなします。

振る舞い検知には、動的と静的の2種類のアプローチの仕方があり、新しい脅威が増えている中で振る舞い検知は効果的な手法です。

静的ヒューリスティック法（狭義のヒューリスティック法）

静的ヒューリスティック法は、ソフトウェアのコードをチェックして、疑わしい挙動をしないか判定する方法です。

コードの内容が疑わしい場合は実際にソフトウェアを動作させて判定します。

コードをチェックする際には、システムファイルへの書き込みやレジストリへの登録といった怪しい挙動を示すコードがないか確認します。

ソフトウェアを実行しないため、実際の被害が出る前にチェックできる点がメリットです。

ただし、コードの書き方は多様であり、コードの解析を完全に行うのが難しいケースがあります。

従来の検知方法との違い

従来の検知方法と最新の検知方法の違いを以下にまとめました。

従来、アンチウイルスソフトで採用されていたのはパターンマッチング方式です。

マルウェアによくあるソフトウェアのコード部分が抽出されて定義ファイルとしてまとめられています。

検査する際には、定義ファイルを参照して完全に一致する対象がないか調べる手法で精度が高く、コード解析を行うだけであり検出スピードにも優れている手法ですが、定義ファイルに含まれていない脅威を検出することはできません。

最新のウイルス検出方法として主流になっているものが「振る舞い検知」です。

「振る舞い検知」は、ウイルスの挙動に注目する手法であり、定義ファイルに含まれない脅威を見つけられます。

ただし、「振る舞い検知」は誤検知の問題があるため、実際にはパターンマッチング方式と併用されることが多いです。

ビヘイビア法の特徴

ビヘイビア法の特徴をまとめると以下の通りです。

• マルウェアの検出方法の一つ
• 新種のマルウェアに対応
• 検査対象を実行させて判断する
• 仮想環境が必要

実際に検査の対象となるソフトウェアを実行して判定する手法であり、怪しい動作を検出する仕組みのため、新種の脅威も対応可能です。

仮想環境でソフトウェアを実行させることで、安全に脅威の検出ができます。

以下ではビヘイビア法の特徴について詳しく解説していきます。

マルウェアの検出方法の一つで、振る舞い監視法

ビヘイビア法は対象の動作に怪しい点がないか検出する手法であり、実行の際にはあらかじめどのような動きを異常動作とみなすのかを定義しておきます。

これまでに脅威の被害報告は無数に存在し、感染したときに引き起こされる挙動には共通点が多いです。

通常のソフトウェアが起こさない動作を頻繁に引き起こすケースが多く、ソフトウェアの実行や感染、隠蔽に関する振る舞いなどは特に怪しい挙動とされています。

怪しい振る舞いを規定することで、振る舞い監視法は機能するのですが、正常なソフトウェアの挙動と誤認するケースがある点は注意が必要です。

新種のマルウェアに対応

新種の脅威についても対応できるのは大きなメリットですが、新しい脅威については、これまでのデータが不足しており、パターンマッチング法による検出は困難になります。

しかし、新しい脅威が登場しても、基本的な挙動は従来と変わらないものが多いです。

感染して悪意のある行為を引き起こすまでの過程には、大きな違いはないため、あらかじめ怪しい挙動を定義しておけば、新種の脅威も検出は可能です。

未知の脅威が現れたとしても問題なく検出できるため、新しい脅威が蔓延するのを未然に防ぐことが可能です。

検査対象のソフトウェアを実際に動作させ判断する

ビヘイビア法は検査の対象となるソフトウェアを実行して、挙動を判断する手法であり、あらかじめ疑わしい挙動を定義しておき、一致する挙動が見られないか確認します。

疑わしい挙動の例を以下にまとめました。

• 書き込み
• 複製
• 破壊
• 通信量・エラー量の増大
• 例外ポート通信の増大
• 不完全パケットの増大

書き込みや複製、破壊は直接的な被害に関連した異常であり、通常のソフトウェアにはあまり見られない挙動のため、すぐに検出できます。

また、通信量・エラー量や例外ポート通信、不完全パケットなど正常なソフトウェアの挙動として不自然なものにも注目します。

怪しいソフトウェアを見つけたならば、隔離や削除といった対応が可能です。

仮想環境が必要

ソフトウェアを動作させて検査する手法は、検査対象のファイルが含まれる環境で実行すると感染するため、危険性があります。

そこで、安全な状況で検査を行うために仮想環境の準備が必要になるため、サンドボックスを仮想環境として構築するのが一般的です。

サンドボックスとは、デバイスを使用している通常の環境と隔離された環境のことであり、サンドボックス上で動作させたソフトウェアが悪意のある振る舞いをしても被害を防げます。

ただし、中にはサンドボックスを検知する脅威があり、サンドボックスの中では動作を停止するものがあります。

また、サンドボックスで動作させて検査する手法は時間がかかるのが欠点であり、検査が終了するまでにタイムラグがあるため、感染を防げないリスクがあります。

ウイルスを検知する方法：従来〜最新

現在のところ、ウイルスを検知する方法を大きく分けると以下の3種類があります。

• パターンマッチング
• ヒューリスティック
• 振る舞い検知(ビヘイビア法)

それぞれ判断手法から誤検知の可能性まで違いがあります。

従来用いられてきたのはパターンマッチングですが、従来の手法では対応できないケースが増えたため、新しい手法が登場しました。

それぞれの手法にはメリットとデメリットがあり、すべての点において完璧な手法は存在しないため注意しましょう。

実際には、それぞれの手法を併用することで、互いの欠点を補い合っています。

以下では現在主流となっている手法について、それぞれ詳しくみていきます。

パターンマッチング

既知の脅威と一致するパターンを見つけ出す手法で、既知の脅威に含まれるコード部分を抽出して、定義ファイルとしてまとめておきます。

定義ファイルを参照しながら検査を進めていき、一致する箇所が存在しないかどうか調べる仕組みです。

とても単純な仕組みであり、なおかつ高い精度で検出できるのですが、定義ファイルに含まれていないパターンを検出できません。

未知の脅威を見つけることは原理的に不可能であり、既知の脅威であっても亜種のようなものの検出は難しいです。

さらに、ゼロデイアタックについては、定義ファイルの更新が間に合わない点が問題になります。

ヒューリスティック

ヒューリスティックとは、事前にソフトウェアの解析を行い、疑わしい挙動を引き起こすコードがないか調べる方法です。

挙動に注目した手法であり、事前に疑わしい挙動を定義しておき、事前に定義した挙動と検査対象のソフトウェアの振る舞いを比較して検知する方法です。

あくまでもコード上の挙動に注目する手法のため、亜種が登場しても対応できるのですが、解析を回避するための暗号化や難読化の処理が施されていると対応できません。

コード解析だけでは脅威の検知には限界があるため、実際にファイルを実行して検査する手法と併用するのが一般的です。

振る舞い検知（ビヘイビア法）

ビヘイビア法は動的解析をする手法であり、疑わしいファイルを仮想環境で実行します。

実行させることで、暗号化や難読化の施されたファイルの検査も可能であり、次世代の手法として注目されていて未知の脅威にも対応できます。

実際に検知する際のアプローチとしては、機械学習とルールベースの2種類です。

機械学習の場合は高い精度で検出できるのですが、学習用のデータが膨大に必要であり、機械学習を実施するためのコストも問題視されています。

ルールベースの場合は、既知の脅威の特徴を抽出して一致する脅威を見つけ出すアプローチのため、誤検知のリスクが高いです。

機械学習とルールベースのいずれのアプローチにも課題があり、最適なアプローチが模索されているのが現状です。

関連記事

ヒューリスティック法とは？ビヘイビア法との違いを解説！ウイルス対策・検出の手法

振る舞い検知（ビヘイビア法）のメリット

振る舞い検知（ビヘイビア法）には複数のメリットがあります。

挙動に注目するアプローチのため、未知の脅威にも対応できて、デバイスに問題を引き起こす挙動が検知されれば、隔離や削除といった対処が可能です。

さまざまな挙動を定義しておけば、幅広い脅威の検出が可能であり、事前にデータベースを用意して一致する脅威を排除する仕組みではないため、データベースが不要な点もメリットといえます。

膨大なデータベースが不要になるため、簡単に実装できる手法として注目度が高いです。

以下では、メリットについてそれぞれ具体的に説明していきます。

未知のマルウェアに対応できる

悪意のあるソフトウェアに共通して見られる動作に着目するため、未知のものにも対処できます。

これまで報告されていなかった新しい対象についても、怪しい動作が含まれれば検知が可能です。

たとえば、システムファイルの書き換えやレジストリの改ざん、外部への感染活動などを規定しておけば、あらかじめ規定された動作はすべて検知できます。

従来とは異なるコードを持ったマルウェアが登場しても検知が可能であり、亜種が登場したとしても、動作そのものが怪しければ検出して駆除が可能です。

悪意のあるソフトウェアがデバイスに感染して問題を引き起こすまでの過程は多くの部分で共通しています。

単に動作に注目するだけでも、悪意のあるソフトウェアの検出は可能であり、被害を未然に防げます。

データベースを使わない

悪意のある動作をベースに検知する手法であり、データベースを参照する必要がないため、ビヘイビア法を実行する上でデータベースは必要ありません。

疑いのあるソフトウェアを実行した結果に注目し、有害な動作と判断されれば検知します。

データベースを参照する手法では、登録されていない対象の検知は原理的に不可能であり、データベースが更新されるまでにタイムラグがあるため、被害を防げないケースも出てくるのが欠点です。

データベースに依存しない検知手法であれば、どんな状況でも常に実施できます。

データベースを参照するプロセスを省けるため、簡単に実装できるでしょう。

振る舞い検知（ビヘイビア法）のデメリット

振る舞い検知（ビヘイビア法）にはいくつかデメリットがあります。

動作に着目する検知手法のため、正常なソフトウェアの動作と誤判断するケースがある点や、実際にソフトウェアの実行を伴う手法のため処理の負荷が大きい点などです。

潜伏期間が長くて数ヶ月以上も潜んでいるようなものについては、見逃す可能性もあります。

完璧な検知手法ではなく、デメリットも多数存在しているため、他の手法と併用することが大事です。

具体的にどういったデメリットがあるのか以下で詳しく紹介します。

正常なプログラムをマルウェアと誤判断する場合もある

悪意のあるソフトウェアに共通する動作を、正常なソフトウェアが行うケースもあるため、正常な振る舞いを誤って検知してマルウェアと誤判断するケースがあります。

たとえば、自己複製挙動を悪意のあるソフトウェアのものと規定するケースです。

通常のインストーラやアンインストーラでも、自己複製挙動は一般的に見られる動作のため、正常なインストーラを誤判断すると、日常的なデバイスの操作に支障が出てしまいます。

悪意のあるソフトウェアにしか見られない動作は存在しないため、常に正常なソフトウェアの動作を誤判断するリスクがあるのが問題点です。

適切な閾値の設定を工夫しないと誤検知が多数発生して機能しなくなるでしょう。

処理の負荷が大きい

ソフトウェアを実行させて検査する手法は処理に負荷がかかる点が課題になります。

特に仮想環境を構築して稼働させる際のCPUへの負荷が大きくなりやすいです。

低スペックなデバイスでは処理に時間がかかりすぎるケースや、スペックが低すぎてそもそも実行できないケースもあるでしょう。

すべてのソフトウェアを仮想環境で実行させて逐一チェックしていくのは原理的に不可能なため、基本的には疑わしい対象のみを実際に動作させます。

最近はクラウドベースのサンドボックスを提供するサービスが出ていて、スペックに依存せずに利用可能です。

処理の負荷の問題を解決し、安全な環境で解析を行えるため、どのような環境にも導入できます。

潜伏期間の長いマルウェアは見逃す可能性がある

悪意のある動作を示す兆候が一切なければ、検出は困難なため、潜伏期間が長くて目立った動作をしないマルウェアを見逃すケースがあります。

中には自己の存在を隠蔽するさまざまな処理を実行しているケースもあります。

対象のデバイスに潜伏する手段は巧妙化しており、見逃すケースは少なくありません。

最初に検知されなければ、そのまま長く潜伏を続けさせてしまうリスクがあり、潜伏に気がつかなければ最終的に大きな被害が出る可能性があるでしょう。

潜伏期間が長くても、一度何らかの動作を示せば、検出できる可能性は高まるため、他の手法と併用しながら検査することが大事です。

ビヘイビア法を採用したウイルス対策ソフト

ビヘイビア法を採用しているソフトを以下にまとめました。

• ESET PROTECT Advanced
• FortiSandbox
• Trellix Endpoint Security

ESET PROTECT Advancedはクラウドサンドボックスを搭載したツールです。

クラウド上のサンドボックスにファイルを送信すれば、解析からレポート送信、駆除まで行ってくれます。

FortiSandboxはさまざまなタイプのサンドボックスを提供する製品で、導入する際の既存の環境と統合しやすくなる点がメリットです。

Trellix Endpoint Securityは第三者機関からの評価が高いツールであり、安心して導入できるでしょう。

おすすめのソフトについて、それぞれ詳しくみていきます。

ESET PROTECT Advanced

ESET PROTECT Advancedはクラウドサンドボックスを搭載したソフトです。

ESET PROTECT Advancedはクラウドベースのツールのため、社外でも利用できます。

社内の端末で不審なファイルが発見された場合はクラウドサンドボックスへ自動送信される仕組みです。

ESET PROTECT Advancedでは機械学習モデルを用いた分析を行い解析から防御まで数分以内に実行し、解析結果についてのフィードバックが迅速に行われるため、危険なファイルは即座にブロックできるため安心です。

ESETによる最新テクノロジーが投入されており、多段階の解析によって、最新の脅威にも対応できます。

最新情報が数時間以内に共有される仕組みのため、ゼロデイ攻撃に対しても即座に対処可能です。

ESET PROTECT Advancedはクラウドサンドボックスのため、ハードウェアを用意する必要はなく、高いスペックも要求されません。

FortiSandbox

FortiSandboxはサンドボックスの製品であり、さまざまなラインナップが揃っています。

ハードウェアアプライアンスや仮想アプライアンス、パブリッククラウドなど提供しているフォームファクターは幅広いです。

それぞれの環境や都合に合わせて最適な方法でサンドボックスを導入可能であり、既存のインフラと統合しやすく脅威への対応を自動化できるのが特徴です。

機械学習とディープラーニングのエンジンを搭載しており、高い精度で検知ができます。

NSS Labsから高く評価されており、ICSAからは高度な脅威防御ができると認定を受けており、第三者機関からの評価が高いです。

MITRE ATT&CKマトリックスを内蔵しており、脅威を調査するスピードに優れています。

セキュリティ環境をより高めたい方にFortiSandboxの製品はおすすめです。

Trellix Endpoint Security

Trellix Endpoint Securityはマルウェアの検知や対応支援ができるツールです。

攻撃発生前に対策を実施できるのが特徴で、事前に適切な対策を提案してくれます。

自社をターゲットとする可能性のある脅威について事前に把握することが可能です。

パフォーマンスが高く、ウイルススキャン時に発生する負荷を低減し、さらにアイドル時に定期フルスキャンを実行できるように設定できるため、ユーザーの生産性の向上に寄与します。

ファイルの振る舞いを検知して、動的隔離を実施する機能があり、危険なファイルと判断すれば削除してくれるため安心です。

ビヘイビア法のまとめ

ビヘイビア法は動的ヒューリスティック法のことであり、振る舞い検知とも呼ばれます。

マルウェアの疑いのあるファイルを隔離した環境で実行し、疑いのある挙動を示せば削除する手法であり、未知のマルウェアにも対応できます。

サンドボックス上でファイルの実行を行うため、安全にマルウェアの検出を進められるのがメリットです。

ただし、ビヘイビア法は誤検知するケースがあるため、他の方法と併用して実施されます。

多くのアンチウイルスソフトでビヘイビア法は採用されており、今後も注目される手法といえるでしょう。

ビヘイビア法やセキュリティ、AIを使ったシステム開発などのご相談は株式会社Jiteraにお任せください。