Malware-IDS(Intrusion Detection System)について
01.Malware-IDS(マルウェア侵入検知システム)とは
01−01.マルウェアはSignature無しで侵入を防げるか?
01−02.解析手法
01−03.どのように仕事するか?
02.どのようなマルウェアを検出するのか?
03.警告を受けた時の対応?
03−01.ワーム警告の例
03−02.疑わしい警告を受けた場合の対応
03−03.本当のマルウェア警告を受けた場合の対応
§1.Malware-IDS(マルウェア侵入検知システム)
とは
最近話題を呼んでいるものにMalware-IDS(マルウェア侵入検知システム)と呼ばれるものがあります。ファイアーウォールの基本的役目は外部から
の攻撃を防ぐこと。ウィルス対策ソフトはウィルス等の侵入を防止しシステムファイルの汚染を防ぐこと。いずれもマルウェア(トロイの木馬、スパイウェ
ア・・・)等の検出は非力です。a-squared
Personalにはマルウェアの侵入を防止するMalware-IDSが搭載されています。では、Malware-IDSとはどういうものなのでしょう
か? どのように動作するのでしょうか?
1-1.マルウェアはSignature無しで侵入を防げるか?
a-squared Personal には、Background Guardと呼ばれる機能が搭載されています。Background
Guardは全てのウィルス対策ソフト同様のSignature(人間の指紋に相当するもの。マルウェアの各個体特有の特徴)スキャナとして全ての稼動中
のプログラムをスキャンします。SignatureスキャンはSignatureが一致した時にだけマルウェアを検出します。ところが、a-
squaredは未知のマルウェアに対するSignatureの作成を行い、オンライン経由で素早く分配することを実現しています。未知のマルウェアに対
するSignatureの作成は時間を要します。この間だけ、a-squared
Personal利用者のコンピュータは新規マルウェアに対して無防備となります。
a-squared Intrusion Detection System
(Malware-IDS)はSignatureを必要とせずにマルウェアを検出・削除可能な画期的システムなのです。
1-2.解析手法 通常マルウェアの検出はヒューリスティックを通して行われます。ヒューリスティックスキャンはファイル中のコードに着目し分析します。そして、ファイルが 害を及ぼすものか否かを決定しています。
a-squared Intrusion Detection System (Malware-IDS)はプログラムそのものを観察します。そして、プログラムが疑わしい行動を示した場合そのプログラムを停止させます。そして、プ ログラムが何らかの変更等を行おうとしたことをユーザにポップアップで警告します。
もしも、このプログラムをインストールした覚えがあるのなら、Malware-IDSに対し変更を承認するように伝えてください。Malware-IDS が警告したプログラムがユーザにとって身に覚えの無いものであれば、あなたのコンピュータ上にユーザ認証無しに稼動しているプログラムが存在することはほ ぼ間違いがありません。 1-3.どのように仕事するか? ウィルス、トロイの木馬、ワーム、ダイアラ、スパイウェアとマルウェアを分類することが出来ます。マルウェアは各タイプ毎に必ず特定の結果を成就しようと します。マルウェアは各タイプごとに一意の属性を持っています。この属性でマルウェアはそれぞれのタイプに分類されます。 ウィルスは常に汚染しようとします。ワームは常に拡散しようとします。トロイの木馬は常にファイルを送信しようとし、ダイアラは常にダイヤルしようとしま す。マルウェアの各タイプは、それぞれ違った手法を採っていますが、結果は常に同じです。上述したように、ウィルスは常に汚染しようとします。ワームは常 に拡散しようとします。トロイの木馬は常にファイルを送信しようとし、ダイアラは常にダイヤルしようとするのです。
a-squared Intrusion Detection System (Malware-IDS)は、上述のマルウェアの各属性を利用してマルウェアの挙動を妨害します。アクティブな全てのプログラムの挙動を解析し、あるプ ログラムが何か害を与える行動を実行しようとした時に警告を発します。警告を受けたプログラムは停止され、その挙動をユーザが認証するか否かを決定するま で、プログラムは行動を継続することは出来ません。
ところで、このテクノロジ(a-squared Intrusion Detection System (Malware-IDS))には一つの欠点があります。このテクノロジはマルウェアの挙動を認識します。マルウェアのタイプが同じであれば挙動は同じで す。a-squared Intrusion Detection System (Malware-IDS)はユーザにマルウェアの各タイプを知らせることは出来ても、マルウェア固有の名前を知らせることは出来ません。例えば、ワーム であることは知らせることは出来ますが、NetSkyだのBagleだのと知らせることは出来ません。これら、マルウェア固有の名前を入手するには適切な マルウェア対策プログラム(例えば、a-squared Personal)でスキャンしていただくしかありません。 §2.どのようなマルウェアを検出するのか? 現在、a-squared Intrusion Detection System (Malware-IDS)が検出するマルウェアのタイプは以下です。
3-2-B.そのプログラムはインストールした覚えの あるプログラムですか?
3-2-C.そのプログラムがWebブラウザ、ウィル ス対策プログラムのメールスキャナ、FTPのような既知のサーバーソフトウェアなら、"Allow program once"(今回だけ許可)もしくは "Always allow program"(常に許可)をクリックします。 3-3.本当のマルウェア警告を受けた場合の対応 警告ボックスがWebサーフィン中に発生したり、メールを読んでいたり、メールの添付ファイルを開いたりしている時に発生したら十中八九本物のマルウェア の侵入検知です。"Terminate program" (プログラムの強制終了)をクリックしてプログラムを終了するか、"Delete file"(ファイルの削除)をクリックしてください。 以上は、a-squared Personal搭載のMalware-IDSについてです。今後、他の方法を用いたMalware-IDSも出現すると思います。 最後に一言付け加えておくと、ウィルス対策ソフトが通過を許したファイルに保証していることは「あなたのシステムファイルが汚染されることはありません」 ということだけであって、「そのファイルをインストールしても害を及ぼされることはありません」とは言っていません。それぞれの機能の特徴をしっかりと把 握した上でセキュリティソフトを導入されることをお奨めいたします。
1-2.解析手法 通常マルウェアの検出はヒューリスティックを通して行われます。ヒューリスティックスキャンはファイル中のコードに着目し分析します。そして、ファイルが 害を及ぼすものか否かを決定しています。
a-squared Intrusion Detection System (Malware-IDS)はプログラムそのものを観察します。そして、プログラムが疑わしい行動を示した場合そのプログラムを停止させます。そして、プ ログラムが何らかの変更等を行おうとしたことをユーザにポップアップで警告します。
もしも、このプログラムをインストールした覚えがあるのなら、Malware-IDSに対し変更を承認するように伝えてください。Malware-IDS が警告したプログラムがユーザにとって身に覚えの無いものであれば、あなたのコンピュータ上にユーザ認証無しに稼動しているプログラムが存在することはほ ぼ間違いがありません。 1-3.どのように仕事するか? ウィルス、トロイの木馬、ワーム、ダイアラ、スパイウェアとマルウェアを分類することが出来ます。マルウェアは各タイプ毎に必ず特定の結果を成就しようと します。マルウェアは各タイプごとに一意の属性を持っています。この属性でマルウェアはそれぞれのタイプに分類されます。 ウィルスは常に汚染しようとします。ワームは常に拡散しようとします。トロイの木馬は常にファイルを送信しようとし、ダイアラは常にダイヤルしようとしま す。マルウェアの各タイプは、それぞれ違った手法を採っていますが、結果は常に同じです。上述したように、ウィルスは常に汚染しようとします。ワームは常 に拡散しようとします。トロイの木馬は常にファイルを送信しようとし、ダイアラは常にダイヤルしようとするのです。
a-squared Intrusion Detection System (Malware-IDS)は、上述のマルウェアの各属性を利用してマルウェアの挙動を妨害します。アクティブな全てのプログラムの挙動を解析し、あるプ ログラムが何か害を与える行動を実行しようとした時に警告を発します。警告を受けたプログラムは停止され、その挙動をユーザが認証するか否かを決定するま で、プログラムは行動を継続することは出来ません。
ところで、このテクノロジ(a-squared Intrusion Detection System (Malware-IDS))には一つの欠点があります。このテクノロジはマルウェアの挙動を認識します。マルウェアのタイプが同じであれば挙動は同じで す。a-squared Intrusion Detection System (Malware-IDS)はユーザにマルウェアの各タイプを知らせることは出来ても、マルウェア固有の名前を知らせることは出来ません。例えば、ワーム であることは知らせることは出来ますが、NetSkyだのBagleだのと知らせることは出来ません。これら、マルウェア固有の名前を入手するには適切な マルウェア対策プログラム(例えば、a-squared Personal)でスキャンしていただくしかありません。 §2.どのようなマルウェアを検出するのか? 現在、a-squared Intrusion Detection System (Malware-IDS)が検出するマルウェアのタイプは以下です。
- * メールに添付されたワーム
- * バックドア
- * 外部接続型バックドア
- * スパイウェア・アドウェア
- * ハイジャッカ
- * ダイアラ
- * Rootkits
- * 新規ドライバとサービスのインストール
- * 実行中のプロセスへの介入
- * ブラウザヘルパーオブジェクト(BHOs)のインストール
- * インターネットエクスプローラの設定変更
- File name : 疑わしい挙動をしたプログラムのフルパス
- diagnosis : 診断です。検出されたものがどのようなマルウェアなのかを表示しています。
- What does it mean : 結果の意味することです。どのようなプログラムでどう対処すれば良いかが記されています。
- Allow program once : 「今回だけ許可」
- Allways allow program : 「常に許可」
- Delete file : 「ファイルの削除」
- Terminate Program : 「プログラムの強制終了」
3-2-B.そのプログラムはインストールした覚えの あるプログラムですか?
3-2-C.そのプログラムがWebブラウザ、ウィル ス対策プログラムのメールスキャナ、FTPのような既知のサーバーソフトウェアなら、"Allow program once"(今回だけ許可)もしくは "Always allow program"(常に許可)をクリックします。 3-3.本当のマルウェア警告を受けた場合の対応 警告ボックスがWebサーフィン中に発生したり、メールを読んでいたり、メールの添付ファイルを開いたりしている時に発生したら十中八九本物のマルウェア の侵入検知です。"Terminate program" (プログラムの強制終了)をクリックしてプログラムを終了するか、"Delete file"(ファイルの削除)をクリックしてください。 以上は、a-squared Personal搭載のMalware-IDSについてです。今後、他の方法を用いたMalware-IDSも出現すると思います。 最後に一言付け加えておくと、ウィルス対策ソフトが通過を許したファイルに保証していることは「あなたのシステムファイルが汚染されることはありません」 ということだけであって、「そのファイルをインストールしても害を及ぼされることはありません」とは言っていません。それぞれの機能の特徴をしっかりと把 握した上でセキュリティソフトを導入されることをお奨めいたします。