ウィルス発見方法について

Ｑ／何故「ウィルス」と正しいプログラムの識別ができるのでしょうか？ Ａ／既知のものに関しては、定義ファイルに格納されているパターンに基づいて処理されます。ウィルスとして識別できる不正なファイルを逆コンパイルするなどして情報を精査し、それに基づきワクチンファイルを作成します。バイトチェックなどを行うため検出精度は極めて高くなります。 亜種・新種に関しては、ヒューリスティックスキャン（振る舞い検知）を使うのが一般的で、2通りがあります。シマンテックが開発した隔離された領域（仮想マシン/VM）でプログラムを予め実行し、ウィルスまたはそれに相当する振る舞いをするかどうかをチェックする方法。これに後述のチェック方法を組み合わせることで検出精度が高くなります。（可能性がある場合は、メーカーに隔離後送付します） もう一つが、定義ファイルに基づいて動きの実績情報を元にウィルスらしい行動を伴うコードを使っていれば、ウィルスとして識別する手法を使うもの。WindowsXP SP2で搭載されたハードやソフトによるEnhanced Virus Protectionのバッファオーバーフロー防止技術などのようなもので、ウィルスに多用される条件を危険度の順にランク付けし、その中で何項目を使っているかなどを識別します。一定以上のランクで満たしていれば、可能性があると判断し隔離します。 こちらは、誤検出や見逃しが発生する確率が若干高い傾向にありますので、上記の手法と組み合わせるのが現在は一般的。 どちらも効率的とは言えませんが、人間の病気診断などにも似ています。 コンピュータウィルスも同じで、悪意のパターンを元にウィルスらしい行動を識別するしかありません。それに該当しない別の動きで悪意を及ぼす場合は、対策ソフトでの検出は難しくなります。 それでも検出が難しいものもありますから、セキュリティベンダーは他の企業などの保守サポートと組み合わせるなどして、最新の振る舞いや脆弱性情報を常に解析収集しています。 尚、スパイウェア（マルウェア・アドウェア）は上記には含みません。スパイウェアに関しては元々アドウェアとして生まれ、利用者同意の上で悪意がないものもあります。必ずしもウィルスと同じパターンで検出できる物ではないですから、上記に比べてパターンファイルで網羅している情報に依存しています。そのため、定義ファイルにあるかどうかがウィルスより重視される傾向にあると言えるでしょう。 また、これらは外部に情報を流出させることもあるため、パケット監視機能やファイアウォール機能を用いて総合的に検出を高める手法も取り入れることで、検出精度を引き上げています。これらの検出に関しては、総合セキュリティスイートの方が検出力が高くなります。