G Dataのテクノロジー解説

ウイルス対策ソフトの基本は、「ウイルス定義ファイル（ワクチン）」をもとにスキャンを行いウイルスを探し出すことです。新たな定義ファイルを作成するには、まず、少なくとも一つの検体を収集し、ラボで分析を行わねばなりません。したがって、新たな定義ファイルを各ソフトに提供するまでには、最善を尽くしたとしても数時間を要し、場合によっては数日かかることさえあります。この場合、定義ファイルを組み込むまでは、パソコンは新たな脅威に対し無防備のままになってしまいます。

近年では、マルウェアの攻撃数は激増しており、しかも短期間に拡散しては別の種のものにとってかわるような動向をもつものが多くなっています。この問題を解決するために、第一にとるべき対応策は、いかにして定義ファイルをいちはやくパソコンに届けることができるかでした。これに対してG Dataは、1時間に1回以上※の定期的な定義ファイルの更新を行うことで、リスクを最小限にする努力を行ってまいりました。更新頻度は、1日に数回程度行うベンダーが大半であり、中には、1日1回しか行わず、しかも土日は更新しない、というベンダーもありました。

※これまでの統計であり、回数を保証するものではありません。

しかし、マルウェア攻撃の増加は、そのような頻繁に行うアップデートでさえも間に合わないくらいに、上昇しています。2010年には、ついに年間で200万件以上の攻撃が確認されました。これは、15秒に1件の割合で発生したことを意味します。つまり、1時間で240件の新たなマルウェア攻撃が起こったのです。毎時間240件の新しいマルウェアのサンプルを収集し、解析、定義ファイルを作成する――各ベンダーはこのような過酷な作業を日夜続けているのです。

このような各ベンダーの努力が続けられていても、限界に近い状態であることは、明らかです。実際に、第三者機関によるウイルス検知テストの推移をみると、検知率が不安定に上下していることが分かります。

皆さんはこのような過酷な事態を知っていたでしょうか？今やウイルス作成者そしてその指示者たちは、組織を組み金銭的、犯罪的、そして政治的破壊活動すら行う目的のため本気でウイルスや新たな手法を開発し出しています。残念ながら、画面にいたずらをしたり、おかしな動きをさせたりしてウイルス作者たちが喜んでいたような、無邪気な時代はもう既に終わってしまっていたのです･･･

マルウェアの現状に関する情報は、各種ホワイトペーパーに詳しく記載されています。これらのデータに興味を持った方はぜひご覧ください。

アウトブレイクシールド

G Dataは先に説明したような深刻な事態を2004年より予測し、早急に対応策を考えました。結論は、「多重防御」として、新たに、定義ファイルをベースとしたプロテクトに、別のプロテクトを付加することによって補完する、というものです。とりわけ定義ファイルの提供が間に合わない、新種（未知）の脅威を食い止めるための防御装置の導入を2005年より行いました。これが「アウトブレイクシールド」です。
アウトブレイクシールドは、新種ウイルスが拡散する事態になった瞬間に、パソコンへの侵入を食い止める、クラウド技術です。
もっと正確に説明すると、G Dataの場合、1時間に1回を基本として定義ファイルが配布されますので、そのあいだ、つまり、1時間以内に拡散しているマルウェア、厳密には、そのマルウェアを添付しているスパムメールや、マルウェア攻撃を仕掛けることが可能なサイトへのリンクURLが本文に組み込まれているメールなどが、あなたのパソコンのメーラーで受信されないようにするのです。

この機能にはコムタッチ（Commtouch）社の判定技術が使用されており、通常必要とされるPC内のウイルス定義ファイルとの照合や、メール内容の読み込みを一切必要としません。
世界中の監視センター上で不審なメールデータの拡散を常時監視し、それら不審なメールに関する情報をG Dataのソフトウェアと監視サーバでリアルタイムにやりとり、メールが読み込まれる前に即座に遮断を実行。これにより対応までの待ち時間は最小限に縮められます。

このページで、監視センター上でリアルタイムに発見される不審なデータの拡散を確認できます。

以下のデータのように、実際に多くのウイルスを即時（Zero-Hour）に認知、緊急ブロックに成功するという結果も実証されています。

また、未知のウイルスのうち、約95パーセントの防御を達成しています。この数値は他社の未知ウイルスに対する防御手段と比べても、かなり上位に位置します。また、誤検知率はきわめて低く、0.00004パーセントにすぎません。

G Dataは、二つのスキャンエンジンに対して毎時間しっかりと定義ファイルを提供しつつ、かつ、急速に拡大する新種マルウェアに対しても即座に反応するアウトブレイクシールドを装備しています。また、新種や未知のウイルスに対しては、他にも、以下で述べるような補完機能があり、これらを併せて、より完璧な防御を実現しています。

ヒューリスティックスキャン機能

データベースに無い未知のウイルスに遭遇した場合でも、エンジンの論理的判断により脅威となるファイルを認知、検出することができる機能。 この「ヒューリスティック」技術は比較的古くから存在し、改良され続けている、未知のウイルス検出に関する基礎的な機能で、多くの未知ウイルスはこの機能により発見されます。

G Dataのヒューリスティックは、ファイルフォーマットやサイズ、ウイルスコードの小さな断片、デジタル署名等を、既知のマルウェアと近似しているか分析し、統計的にウイルスの可能性が高いものを検出します。

ふるまい検知（ビヘイビアブロッキング）

ルートキット等への対処の際、プログラム動作時に判断を求められる局面で活躍する機能。

日々巧妙化するウイルスの中には、表面的には無害に見えるよう自らを偽装するタイプも存在し、そういった種類のウイルスは、作成者の思惑通り単純なスキャンでは検出されない事があります。

その対抗策として搭載されたのが、この「ふるまい検知（ビヘイビアブロッキング）」機能。

ファイルが実際に動作を始めた際に、動き自体を監視し、疑わしいと思われる動作を発見した段階でファイルの動作を阻止する、という方法で水際での対策を実行します。

具体的には、以下の挙動を重点的に監視しています。

• ・システムディレクトリへコピーされるファイル
• ・自己複製プロセス
• ・他のアプリケーションのメモリ領域で実行されるコード
• ・アドミン権限により実行されるプロセス
• ・インターフェイス画面が表示されずに開始されるアプリケーション
• ・自動化された実行
• ・実行ファイルのためのディレクトリ記号のような、通常のものではないアイコン

• ・ウィンドウズが起動する際に自動的にプロセスをロードするレジストリのエントリ
• ・プロセスを混乱させるカーネル・ドライバ
• ・ホストファイルへの改ざん
• ・ウェブのプロトコルを通じてシステムに到達するデータパケット
• ・アプリケーションがデータの送受信を可能にするようなポート
• ・USBなど、システムにマルウェアが侵入可能にするインターフェイス

• ・IEの設定

あるファイルが動作を開始するとき、たとえば、自動的にレジストリのエントリが作成されるとき、Windowsと共にプロセスが開始されますが、このときG Dataのふるまい検知のエンジンは、怪しい挙動にはリスクポイントをつけます。 マルウェアのような怪しいふるまいが続くと、リスクポイントの合計が事前に定義された敷居に達し、自動的にブロックされるか、またはユーザに報告され、更なる動作を行うか、停止させるかを決めることができます。

ファイルクラウド機能（2012版より搭載）

クラウド上のハッシュ値データ（MD5）を利用し、疑わしいファイルを検証する機能。

• 1. 不明、非署名のアプリケーションを実行した場合
• 2. PDFや実行可能ファイルのダウンロードを実行した場合
• 3. 電子メールの添付ファイルを受け取った場合

これらの状況で、暗号化されたハッシュ値をG Dataサーバに送信し、データベースと独立した処理を行います。これにより、未知ファイルの検出強化、誤検出の減少、新種フィッシング・感染サイトのデータ収集・検出、新種のウイルスメール検出の強化など、基本機能を補う効果が生まれます。他にも、世にほとんど出回らない希少なファイルなど、データベースに入りにくいファイルの検出にも効果を期待できるでしょう。

ファイルクラウドの動作例