次世代「Norton」を強化する「SONAR 4」の新機能進化するビヘイビア技術(1/2 ページ)

» 2011年07月29日 16時51分 公開
[小林哲雄,ITmedia]

2011年秋ごろに発売予定の次世代Norton製品は、「Insight 3」や新しく作り直された「Norton ID Safe」など、「どうしたら毎年、こんな大改編ができるのだろう?」と思わせるほどの改良が施されている。

 今回、次期Norton製品に搭載されるSONAR(Symantec Online Network for Advanced Response)の最新バージョン「SONAR 4」について、SONAR 2から開発に携わっているアーキテクトのシェーン・ペレイラ(Shane Pereira)氏に話を聞いた。

多重チェックをかけるNorton製品

有償製品の場合、多重チェックが当たり前になっている。他社製品でも複数のスキャンエンジンを使うなど、異なる技術を複合的に採用している

 「アンチウイルスソフト」はPCを買ったらどうしても必要となるソフトウェアの1つだ。個人利用であれば、MSE(Microsoft Security Essentials)のように無料で提供されている製品を使うことも考えられるが、有料の製品は一般的に高い検知機能を備え、サポートを受けられるといったメリットもある。

 Norton製品の場合、プログラムのマルウェア判定に関しては、シグネチャベースのスキャンに加えて、挙動ベースのSONAR、そして2009年から導入されたレピュテーション技術のInsightと、多層的にチェックする仕組みになっている。

 ただ、ここ数年はレピュテーション技術が盛り上がりを見せる一方で、SONARのようなビヘイビア技術はいまひとつ注目されていないような印象を受ける。

 ビヘイビア技術を簡単に説明すると、プログラムのふるまいをチェックして、怪しそうな挙動が多ければマルウェアと判断するものだ。例えば、警官が泥棒を捕まえる際に指名手配書とつきあわせて判断するのがシグネチャだとすれば、(指名手配書にはないが)怪しそうな行動をしていると捕まえるのがビヘイビア技術、と言うことができる。最新のSONAR 4では700の挙動チェックポイントを設けているという。

 SONARはOnline Networkという名前がついているが、インターネット接続のないスタンドアロンでも動作する。SONARは、シマンテックが2005年に買収したWholeSecurityという企業の技術がベースになっており、最初のSONARが登場したのは2007年のこと。それから2009年にSONAR 2が登場し、これ以降は毎年バージョンアップを重ねてきた。2011年秋に投入予定のNorton Internet Security 2012(以下、NIS2012)でも、最新版のSONAR 4が組み込まれる予定だ。それではSONAR 4で実装される新機能を見ていこう。

新機能1、「専門家が作ったふるまいシグネチャが使えるようになる」

この例ではPC Scoutという偽アンチウイルスソフトが「テンポラリフォルダから起動」→「AVEというレジストリを記録」→「hostinfo.txtを作成」→「Webブラウザのホームを書き換える」という挙動を示しており、Active Securityでも同じ挙動パターンで判別できるということを意味している

 ペレイラ氏によると、SONAR 4には3つの新機能が組み込まれる。第1の新機能が「シグネチャベースのビヘイビアチェック」だ。

 ここ数年、マルウェアの数は爆発的に増大しているが、マルウェアをいちから作るのは労力がかかるので「真に新しいマルウェア」はそれほど増えていないという(マルウェアを難読化するための暗号鍵が違うだけで根本は同じ)。

 その一方で、新種のマルウェアのように見えるが、実はUIを少々書き換えただけの亜種というものも存在する。「偽セキュリティソフト」(Fake AV)がその典型例だ。よくあるのが、インストールした記憶のない体験版アンチウイルスソフトが「ありもしない脅威」を発見し、「削除したいなら体験版でなく有料版を!」と費用支払いのためにクレジットカード番号を要求するというもの。このような「やっていることは大体同じマルウェア」の対抗策に、マルウェア解析者がふるまいベースのシグネチャを作成することができる、というのが今回の新機能になる。

 従来のSONARも人工知能ベースの自動シグネチャがあったが、確実にマルウェアを判定できるのかと言われると少々疑問だった。しかし、マルウェアとして前例のある「○○のようなふるまい」を専門家が解析し、その行動パターンのシグネチャを作ることによって、ビヘイビア技術でありながらより確実性の高い検知が可能になるという。また、個々のプログラムを細かく解析しなくても、ふるまいでシグネチャを作成することが可能なので、対応が早くなるというメリットもある。従来のシグネチャ検出手法はプログラムベースでの解析に基づいたものだが、シグネチャをプログラムベースではなく挙動ベースでも作成できるというのがSONAR 4の最大の魅力といえるだろう。なお、シグネチャをまとめたパターンファイルはLive Updateで随時更新される。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

アクセストップ10

2024年03月29日 更新
  1. ミリ波レーダーで高度な検知を実現する「スマート人感センサーFP2」を試す 室内の転倒検出や睡眠モニターも実現 (2024年03月28日)
  2. ダイソーで330円の「手になじむワイヤレスマウス」を試す 名前通りの持ちやすさは“お値段以上”だが難点も (2024年03月27日)
  3. Synology「BeeStation」は、“NASに興味があるけど未導入”な人に勧めたい 買い切り型で自分だけの4TBクラウドストレージを簡単に構築できる (2024年03月27日)
  4. 「ThinkPad」2024年モデルは何が変わった? 見どころをチェック! (2024年03月26日)
  5. ダイソーで550円で売っている「充電式ワイヤレスマウス」が意外と優秀 平たいボディーは携帯性抜群! (2024年03月25日)
  6. 次期永続ライセンス版の「Microsoft Office 2024」が2024年後半提供開始/macOS Sonoma 14.4のアップグレードでJavaがクラッシュ (2024年03月24日)
  7. サンワ、Windows Helloに対応したUSB Type-C指紋認証センサー (2024年03月27日)
  8. 日本HP、個人/法人向けノート「Envy」「HP EliteBook」「HP ZBook」にCore Ultra搭載の新モデルを一挙投入 (2024年03月28日)
  9. あなたのPCのWindows 10/11の「ライセンス」はどうなっている? 調べる方法をチェック! (2023年10月20日)
  10. レノボ、Ryzen Threadripper PRO 7000 WXシリーズを搭載したタワー型ワークステーション (2024年03月27日)
最新トピックスPR

過去記事カレンダー