マルウェアの脅威への対策として、セキュリティ対策製品を導入している組織・企業は年々増えています。

しかし、多くの組織・企業がこのようなセキュリティ対策を講じていても、サイバー攻撃による情報漏洩やウイルス感染などがニュースで報道されています。

サイバー攻撃で利用されるマルウェアは、セキュリティソフト導入やオペレーションルールの策定によってある程度は防ぐことができますが、単一のソフトのみでは対策をすり抜けてしまったり、誤検知によって業務に支障が発生してしまうリスクが考えられます。

この記事では、マルウェア検出の重要性や強固なセキュリティを実現するために複数マルウェア対策製品を組み合わせるマルチスキャンテクノロジーについて解説します。

マルウェア検出の重要性

巧妙な手口で被害者に気づかれることなくシステムに侵入し、多大な損害や混乱を引き起こすマルウェア。

IPAが発表した『情報セキュリティ10大脅威』によれば、組織向けの脅威の多くがマルウェアに関連していることが分かっています。

たとえば、マルウェアが利用されたサイバー攻撃には以下が挙げられます。

• ランサムウェアによる金銭の窃取
• 標的型攻撃メールによる機密情報の窃取
• サプライチェーンの不備を狙った攻撃

このように、マルウェアはさまざまなサイバー攻撃の手段となっており、多くのシステムにとっての脅威です。マルウェアの脅威から組織・企業を守るためには、マルウェア検出の精度を高めることが重要です。

出典：独立行政法人情報処理推進機構『情報セキュリティ10大脅威　2021』

マルウェア対策製品の検知性能にはばらつきがある

マルウェア対策製品は、マルウェアのプログラム配列を解析してパターンファイルを開発し、パターンファイルと一致したシグネチャを検知する仕組みです。

しかし、毎日のようにマルウェアは生み出されているため、常に最新の脅威から組織・企業を守ることは困難といえます。また、単一のマルウェア対策製品だけでは製品によって同じマルウェアに対して検知率にばらつきがあり、このばらつきがマルウェア感染リスクとなります。

新種・亜種への対応が難しい

セキュリティ対策ソフトを提供するベンダーは、新種や亜種が登場するたびにマルウェアを分析し、パターンファイルを開発して、マルウェア対策製品に実装します。

パターンファイルマッチング型の製品の場合、パターンファイルの開発から実装までタイムラグがあるため、新種・亜種のマルウェア発見から実装までの間に攻撃を受けることもあります。

製品メーカごとに対策速度にばらつきがあるため、単一のマルウェア対策製品に頼りきってしまうと対応しきれないマルウェアの侵入リスクに注意しなくてはなりません。

誤検知が発生する

マルウェアは1年間で数多くの新種・亜種が作られており、その攻撃手法は年々複雑かつ巧妙になってきています。

複雑かつ巧妙化する攻撃に対して、マルウェア対策製品は振る舞い検知機能やパターンファイルマッチング機能でブロックに取り掛かりますが、一方でマルウェアでないファイルやマルウェアの内在が認められないファイルに対してもブロックしてしまうこと=誤検知することがあります。

誤検知によって本来は安全なファイルがブロックされてしまった場合、届くべきファイルが届かないことになり、業務への支障を招いてしまいます。検知同様に誤検知の発生についてもマルウェア対策製品ごとにばらつきがあるため、誤検知リスクも考慮する必要があります。

検出を回避される

最近のマルウェアにはマルウェア対策製品による検出・解析を回避する機能を有したものもあります(パターンファイル回避など)。

回避機能を有すマルウェアへの対応もマルウェア対策製品によってばらつきがあります。単一のマルウェア対策製品ではマルウェアの回避挙動をブロックできない場合、当然すり抜けられるリスクがあります。そこで、複数のマルウェア対策を組み合わせるマルチスキャンテクノロジーの活用が有効と考えられます。

​​​​​​​

注目されるマルチスキャンテクノロジー

単一のマルウェア対策製品では防ぎきれないリスクへの対策として マルチスキャンテクノロジーに注目が集まっています。

マルチスキャンテクノロジーとは、複数のマルウェア対策製品のエンジンを利用して単一のファイルに対して複数のマルウェア検査を提供することで、既知・新種・亜種のマルウェアの検知率を向上させるテクノロジーです。マルチスキャンテクノロジーには、以下のような特徴があります。

▼マルチスキャンテクノロジーの特徴

• 単一のマルウェア対策製品のエンジン利用に比べて、マルウェアの平均検知率を向上させることができる
• 単一のマルウェア対策製品のエンジン利用に比べて、新種・亜種のマルウェアへの対応速度を向上させることができる

OPSWATのマルチスキャンでマルウェア検知率を向上

マルウェア感染のリスクに対する対策手段は多様にあります。その中でもファイル交換を通じたマルウェア侵入・感染拡大のリスク低減にあたってはOPSWAT社が提供する『Metadefender Core』が有効です。

MetaDefender Coreは、1つのシステムでマルチスキャン・データ無害化・アプリケーションの脆弱性検知が行える脅威検出・防御用のエンジンアプリケーションです。その中でもマルチスキャンエンジンについては最小8つから最大30種類以上のマルウェア対策エンジンを稼働させるため、単一のマルウェア対策製品に比べ高水準なマルウェア平均検知率を実現します。

また、誤検知の問題に関しても例えば「3種類のエンジンが検知した場合、マルウェアと検知する」という検知条件の定義により誤検知率を下げることが可能です。(8つ以上のマルウェア対策メーカからパターンファイルの提供を受けるため新種・亜種発生時の新しいパターンファイル入手速度も迅速化します。)

OPSWATではMetaDefneder Coreと連携する各種アプリケーションを用意しています。ネットワーク利用に欠かせないEmailやファイル共有アプリケーションはもちろん、ユニークなものでは外部から持ち込まれるUSBなど物理的な可搬媒体に格納されたファイルのマルウェア検査も可能です。(5つのマルウェア対策エンジンを搭載したUSB型のPC HDD/SSD検査ツールもあります。)

今回はマルウェア対策を中心にご紹介しましたがOPSWAT製品には他にも100種類以上のファイル形式に対応するファイル無害化エンジンもあります。

マルチスキャンエンジンと組み合わせることで、まずはマルチスキャンで拡張子に依存せず、すべてのファイルのマルウェア検査を行い、良性と判定を受けたファイルに対して、さらに拡張子を検証してファイル無害化処理を行い、ファイルを安全・確実に内部環境に取り込む多段防御を実現します。

まとめ

マルウェア感染によって企業が受ける被害は甚大です。進化し続けるマルウェアによる攻撃は単一のマルウェア対策製品では防ぎきれていないのが現実です。

現在単一のマルウェア対策製品を採用していてそのセキュリティ対策強化をご検討されているのであれば、マルチスキャンテクノロジーによる高い平均検知率と迅速な新種・亜種のマルウェア対策ができるOPSWATの『Metadefender Core』をご検討されてはいかがでしょうか。

■関連記事