インターネットの利便性をこれまでになく享受し，ネット上に拡散する情報の力が革新的な発想を後押しすることも多い21世紀初頭は，同時に情報漏えいや権利侵害，依存といった弊害や危うさを露呈し始めた時代でもある。不可視だが確実に存在する脅威，ネットにつながっているゆえの不自由さをも見極める必要がある。現代の環境を冷静に認識し，今起きていることに対してどうふるまうべきか。現代思想・法曹・警察行政・迎撃技術・情報工学・サイバーインテリジェンス等のスペシャリストが，6回に分けて考える。

第4回はトレンドマイクロ・平原伸昭氏が，コンピューターウイルスの特徴の変遷，セキュリティーソフトの歴史をふりかえり，大量のサンプル情報を利用した正・不正の検出など迎撃技術開発の最新事情までを解説する。

本稿の著作権はトレンドマイクロ株式会社に帰属する。

日本国内で1991年に発売した「ウイルスバスター」は，当時73種類のウイルスを検出できるセキュリティーソフトだった。それが今や毎秒新しい脅威が発生している状況である。攻撃もコンピューターウイルスだけではなく，不正サイトや不正メールなどさまざまな手法が用いられている。巧妙化，複雑化するサイバー攻撃を防ぐために，セキュリティーの技術も進歩してきた。基本的な検出技術である「パターンマッチング」，プログラムの振る舞いで検知する「ヒューリスティック」（振る舞い検知），仮想空間でプログラムを実行させて動作を検査する「サンドボックス」などである。本稿では，コンピューターウイルスをはじめとしたサイバー空間の脅威の変遷を解説する。また，昨今注目される機械学習を活用したものを含め対策の進化を紹介する。

世界で初めてコンピューターウイルスが確認されたのは，今から約30年前の1986年に登場した「パキスタン・ブレイン」である（図1）。この不正プログラムは，作者であるアルビ兄弟が開発・販売していたソフトウェアの不正コピーを警告する目的で作成し，ユーザーのデータを破壊するようなものではなかった。一方で，拡散する過程で第三者により破壊的なプログラムへと改変されていき，これをきっかけにセキュリティーソフトの必要性が高まっていった。

世界で初めてのCSIRT（Computer Security Incident Response Team）である米国CERT（Computer Emergency Response Team）が誕生したきっかけとなったのは，1988年に登場したモリスワームといわれるコンピューターウイルスだった。モリスワームの特徴の一つに，ワーム機能がある。これは，ネットワークを通じて他のコンピューターにウイルスを拡散する機能である。拡散方法は，メールの添付ファイルの形で広まるものや，OSやソフトウェアの脆弱（ぜいじゃく）性を通じて広まるものなどがある。

1999年には，電子メールを利用して感染を拡大するHappy99，メリッサなどが登場した。2000年には史上最大規模の世界的大流行となったラブレターウイルスが登場した。「ILOVEYOU」という件名などでメール受信者の興味を引き，添付ファイルの実行を促したことが大流行につながった。

2001年には，Code RedやNimdaがソフトウェアの脆弱性を悪用して感染を広げる機能をもち，急速に自身のコピーを拡散しインターネットをまひさせた。当時，世界中のコンピューターに感染を広げるセキュリティーインシデントが1年に数回発生していた。トレンドマイクロでは，このように世界で大規模なコンピューターウイルスの感染が発生した際に「レッドアラート」と呼ばれる警報を発令し，注意喚起を行っていたが，2004年を最後に今日に至るまでこのレッドアラートが発令されたことはない。

このように，2004年までのコンピューターウイルスの大半は，より多くのコンピューターに感染することによる技術力の誇示や愉快犯などが主な目的だった。それ以降，金銭の詐取を目的としてオンライン銀行口座の不正操作をするオンライン銀行詐欺ツールや，ファイルの暗号化やコンピューターのロックを行い身代金を要求するランサムウェア，日本年金機構に代表されるような企業や団体の機密情報を入手することを目的とした標的型サイバー攻撃などが顕著になった。

図1 脅威の変遷

自動車の安全運転という目的を達成するために，ブレーキ，シートベルト，エアバッグ，衝突安全ボディーなど複数の安全技術が存在する。同様に，昨今の商用版のセキュリティーソフトは，これから説明するような複数の技術が導入されて製品として成り立っている。たとえば，トレンドマイクロでは約10年前からスパムメール対策において機械学習を実装しており，メール内に含まれている特定の言葉の出現頻度などを機械学習が分析することでスパムメールであるか否かを判断している。サンドボックスに代表される動的挙動監視は2003年から，ヒューリスティック検出技術においては10年以上の利用実績がある。

「アンチウイルスソフトによるセキュリティーでは不十分」といった話を聞いたことがあるかもしれない。しかし，この言葉は人によってとらえ方がさまざまである。パターンマッチングのようなコンピューターウイルスを検出する単一の機能を指しているのか，それともセキュリティーソフト全体を指しているのかが受け取る人によって異なるからだ。前者を表しているのであれば確かに不十分といえるだろう。しかし後者を表しているのであれば，それは不十分とは言い切れない。なぜならセキュリティーソフトは日々進化し，新たな機能が搭載されているからである。ソリューションへの理解を深めるために，ここからは，コンピューターウイルスを検出する技術について説明する。

パターンマッチングとは，コンピューターウイルスを検出するための一般的な技術である。この技術では，あらかじめ，不正プログラムから不正なコードの特徴的な部分を抜き出し，データベースにする。データベースにしたものをパターンファイルと呼ぶ。そのうえで，検索対象となるファイル内のコードとパターンファイルを比較し，そのファイルが不正プログラムかどうかを判定する。検出するパターンと検出する不正プログラムが1対1で対応するものもあれば，1つの検出パターンで，複数検体の検出に対応するものもある。

さらに，パターンファイル作成の経験則を応用した方式として，ジェネリック検出と呼ばれる方式もある。これは，解析済みの不正プログラム群から共通点を抽出し，特定の不正プログラムの亜種と推定されるファイルを検出する技術である。この技術により，通常のパターンマッチングでは検出できない亜種を検出する。

パターンマッチングの長所は，効率的に高い精度で不正プログラムの検出が可能なことである。特に，インシデント対応ライフサイクルの復旧フェーズにおいて，ネットワーク内に点在する不正プログラムを一斉に検出し適切な対応を行うことができる。一方で，パターンファイルを作成する必要があるため，未入手の不正プログラムやそれら亜種の検出が困難なことが問題点として挙げられる。

パターンマッチングの短所を補う方式として研究開発されたのが，ヒューリスティックと呼ばれるものである。経験則に基づいたルールを適用してプログラムの実行内容が不正かどうかを判定する。パターンマッチングでは，ファイル内のプログラムコードに着目しているが，ヒューリスティックではプログラムの挙動に着目している。パターンレスと呼ばれるものやサンドボックス技術もこれに含まれる。

この方式の長所は，不正プログラムを入手していなくても，疑わしい活動を行うプログラムを検出することが可能となることである。一方短所としては，不正プログラムではないものを不正プログラムとして検出してしまう偽陽性（False Positive）や，その反対の不正プログラムを不正ではないプログラムとして判定してしまう偽陰性（False Negative）といった誤警告（False Alarm）をしないための検出精度のチューニングが難しいことが挙げられる。特に，標的型サイバー攻撃に使われる不正プログラムは，あえて限られた環境でしか，意図した活動を行わないようにプログラムされているため，偽陰性に注意する必要がある。

レピュテーションとは，評判，評価という意味で，評判や評価によって，不正かどうかの判断を行う技術である。たとえば，トレンドマイクロのWebレピュテーションでは，ドメイン，Webページ，Webサイトのスコアリングを行いデータベースに登録している。

ユーザーがWebサイトにアクセスするなどの通信が発生した際，自動的にこのデータベースに問い合わせを行い，接続先ドメイン，Webサイト，Webページが不正な場合はアクセス自体をブロックする仕組みである。これによって，不正プログラムのダウンロードをブロックしたり，フィッシング詐欺などの被害を防ぐことができる。レピュテーション技術は，Webの他に，ファイル，E-mail，モバイルアプリケーションなどがあり，これらが相互に連携することにより，脅威の一連の流れや関連性を総合的に分析できる。

その他のソリューションとしては，標的型サイバー攻撃等で使用される不正なネットワークトラフィックや，それ自体は不正でなくとも，環境によっては不審な行動を検出するネットワークトラフィックルール，OSやアプリケーションに存在する脆弱性を悪用した攻撃から守る脆弱性ルールなどがある。

また，最近では機械学習技術を応用したセキュリティーソフトも市場に出始めた。機械学習の強みは，与えられた情報を基に学習し，類似の脅威を迅速に検出可能とすることである。また，人間と違い疲れることもなく多くのファイルを分析することもできる。一方で，まったく新しい脅威については判別することが難しいことと，パターンマッチング方式と比較して誤警告のリスクが高いことが問題点として挙げられる。特に誤警告のリスクを低減するには，膨大な正しいファイルと不正なファイルの学習が欠かせない。これには，ビッグデータとしての大量のサンプルの入手，正・不正の判断が必要となる。トレンドマイクロでは，2016年11月に成熟した技術とAI技術のブレンドによるセキュリティーアプローチ「XGen（エックスジェン）」を実現する企業向け総合セキュリティーソフト「ウイルスバスター コーポレートエディション XG」を発表した。現在のサイバー攻撃に対して機械学習は必要な要素の1つだが，万能薬になるわけではなく，複雑化する脅威から企業を守るためには，単一検出技術によるアプローチ（防御機能）のみではなく，各検出技術の強みを組み合わせたアプローチにより，被害発生リスクを低減するというリスクマネジメントの考え方が必要不可欠といえる。

本稿では，脅威とソリューションの歴史，特にソリューションにおいては，それぞれの長所，短所を説明してきた。サンドボックスや機械学習に限らず銀の弾丸（特効薬）は存在しない。エアバッグがあるからといってシートベルトが要らないわけではないのと同じで，単一技術で身を守れないことは情報セキュリティーにおいても同様である。それぞれの検出技術の得意，不得意を理解したうえで上手に利用する必要がある。

さらに，現在の巧妙なサイバー攻撃は，正規のプログラムや正規の通信を複数用いることで不正な活動を行う。つまり，それ自体は疑わしくない行動でも，ある環境下においては不正といえるような攻撃である。このような攻撃には，ある環境下における「普通ではない行動」を検出する仕組みが重要なのである。

通常，集合住宅にはマスターキーが存在する。場合によっては，管理事務所が適切な理由の下，マスターキーを使って部屋に入ることもありえる。この行動自体は不正なものとはいえないが，隣人住人がマスターキーを使って部屋に侵入した場合はどうだろうか。大抵の場合は不審な行動となるはずである。集合住宅を企業内ネットワーク，マスターキーを特権アカウントと置き換えてみよう。

そのような行動を監視し，気づく仕組みがあるのかが重要である。不正なプログラムや通信のみを検出することにだけ目を向けるのではなく，その環境，組織において不審な行動を検出する仕組みをあわせて取り入れることが身を守るために必要な視点であるといえる。

トレンドマイクロ株式会社 上級サイバークライムアナリスト。2002年にトレンドマイクロ（株）に入社以来，14年以上にわたり，情報セキュリティー分野に従事する。特に，不正プログラムに関する動向や解析，コンピューターに残された痕跡情報調査の分野に精通し，多くの政府・企業・団体におけるセキュリティー事故への豊富な対応経験をもつ。2011年，標的型サイバー攻撃の対処に特化したサイバー攻撃レスポンスチームの立ち上げに従事する。現在は，攻撃ごとの目的ならびに実行者を分析し，将来の事件を検出，分析，軽減するための脅威情報の有効活用に関する実験に携わっている。他にGIAC Certified Forensic Analyst，Certified Ethical Hacker， Computer Hacking Forensic Investigator，EC-Council Certified Security Analystの資格をもつ。